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本 书 首先 阐述 了 为 什么 要 发 展 和 部 署 IPv6， 然 后 详细 介绍 了 IPv6 协 
议 ， 以 及 IPv4 与 IPv6 互通 的 技术 。 本 书 还 详细 描述 了 如 何 评估 IPv6 准备 
情况 ， 如 何 进行 IPv6 地 址 规划 ， 如 何 进行 IPv6 安全 规划 和 管理 规划 ， 如 何 
部 署 和 管理 IPv6 网 络 ， 如 何 管理 IPv4ZIPvw6 网 络 等 相关 的 策略 和 技术 。 最 
后 ， 本 书 对 IPv6 和 因特网 进行 了 展望 。 

本 书 适合 作为 相关 专业 的 工程 技术 人 员 学 习 下 一 代 计 算 机 网 络 协议 
IPv6 概念 和 相关 部 署 和 管理 技术 的 参考 书 ， 也 可 以 作为 计算 机 专业 、 网 络 
工程 专业 和 通信 专业 本 科 高 年 级 的 教材 。 
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过 去 的 二 十 多 年 里 ， 
联网 及 大 数据 时 代 的 到 来 ，IPv4 A 
不 足 、 端 到 端 通信 质 
具有 如 下 优越 性 : 良好 的 可 扩展 性 、 可 靠 的 安全 性 、 多 样 化 的 
理性 、 移 动 性 ; 另外 ， 还 能 很 好 地 支持 多 播 业务 ， 提 高 网 络 的 
用 IPv6 后 ， 大 量 智能 终端 将 有 机 会 独立 连接 到 








译 者 序 





IPv4 作为 因 

















量 得 不 到 保障 、 网 络 配置 管 








特 网 的 标准 取得 了 辉煌 的 
千 网 的 缺陷 已 变 得 越 加 明显 ， 如 地 址 空间 的 


业绩 。 但 随 着 物 


理 困 难 等 。 相 比 于 IPv4，IPv6 
服务 质量 、 易 管 
整体 吞吐 量 。 使 

















因特网 上 ， 人 们 将 生活 在 一 个 万 


物 互联 的 世界 中 。 近 年 来 ， 越 来 越 多 的 国家 在 IPv6 研发 中 投入 了 巨大 的 精力 和 


时 间 并 进行 部 署 各 普及。 我国 
试验 和 示范 工程 。2008 年 12 月 

















在 基于 IPv6 的 下 一 代 互 联网 方面 开展 了 多 项 研究 、 
3 日 ， 历 时 五 年 的 中 国 








下 一 代 互 联网 ( China 


Next Generation Internet, CNGI) 项 目 取得 阶段 性 的 成 果 ， 建 成 并 稳定 运行 全 球 


第 一 个 


出 我 国 




















线 图 和 主要 目标 。 


随 着 商用 部 署 的 持续 推进 ， 网 络 工程 师 、 管 理 者 和 IT 工作 者 迫切 需要 了 解 











也 是 规模 最 大 的 纯 IPv6 互联 网 
已 在 基于 IPv6 的 下 一 代 互 联网 方面 取得 了 阶段 性 进展 ， 后 续 规 模 化 商用 
和 发 展 已 具备 良好 基础 ， 会 议 明 确 了 今后 一 个 时 期 我 国 

















主干 网 。 20 





和 学 习 IPv6 基本 概念 并 掌握 IPv6 部 署 与 管理 技术 





是 为 这 样 的 需求 而 准备 的 。 本 ] 














管理 者 和 开工 作者 的 良师益友 。 
本 书包 括 10 章 和 1 个 附录 。 第 1 章 阐述 了 为 什么 要 发 展 IPv6， 并 从 商业 前 








景 的 角度 阐明 了 各 种 组 织 团 体 应 该 部 署 IPv6 HY H 
协议 特点 及 结构 等 基 





升级 或 部 署 IPv6 需要 做 什么 准备 。 第 5 HH 




















11 年 12 月 国务 院 常 务 会 议 指 





发 展 下 一 代 互 联网 的 路 

















o AP (Pv 部 署 和 管理 》 正 


是 一 本 系统 、 先 进 、 实 用 的 IPv6 网 络 部 署 和 管 
理 的 参考 书 ， 是 从 事 的 计算 机 网 络 技术 研究 、 应 用 、 开 发 和 管理 的 网 络 工程 师 、 





由 。 第 2 章 详 细 介 绍 了 IPv6 的 


本 概念 。 第 3 章 详 细 介 绍 IPv4/IPv6 共存 技术 ， 包 括 双 栈 、 
隧道 、 翻 译 技术 等 相关 的 技术 。 第 4 章 详 细 介 绍 了 如 何 评估 现 有 网 络 的 状况 ， 








# 细 介 绍 了 制定 IPv6 地 址 规划 的 机 制 


和 技术 。 第 6 章 从 安全 的 视角 探讨 了 IPv4 和 IPv6 之 间 的 差异 ， 并 突出 了 在 更 新 
安全 策略 时 需要 考虑 的 一 些 关键 点 。 第 7 章 介 绍 了 网 络 管理 的 模型 、 范 围 、 管 
第 8 章 介 绍 了 IPv6 部 署 管理 过 程 。 第 9 章 介 绍 了 管理 IPv4/ 








IPv6 网 络 的 策 





理 协 议和 管理 功能 。 
各 和 技术 。 第 10 章 对 IPv6 和 因特网 进行 了 展望 。 





准备 情况 评估 表 的 模板 。 





董 守 玲 、 王 吴 翔 、 胡 金龙 组 织 并 参加 了 本 和 














附录 1 是 IPv6 


区 的 翻译 和 审 校 工作 ， 参 加 翻 
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+t 者 
2014 年 于 华南 理工 大 学 


原 书 前 言 


从 具体 阔 述 IPv6 数据 报 结 构 的 RFC 2460 文章 发 表 到 现在 已 经 有 14 年 


(2013) 了 。 由 Setve Deering 和 Bob Hinden 撰写 的 这 篇 文章 描绘 了 从 1990 年 


年 初 
论 。 
罗列 





开始 长 达 8 年 之 久 的 关于 “如 何 让 32 位 的 IP 地 址 空间 得 到 扩展 ”的 辩 
在 当时 ， 对 于 IPng (下 一 代 卫 ) 有 四 个 建议 。 我 不 打算 将 这 些 建议 一 一 
出 来 ， 只 想 说 明 它们 设 定 的 功能 差异 巨大 。 曾 经 还 有 另外 一 条 建议 说 接 





X OSI 的 无 连接 网 络 协 议 (Connectionless Networking Protocol，CLNP) ， 这 也 引 


起 了 


此 一 
程 的 


年 记 


当时 在 因特网 工程 任务 组 (Internet Engineering Task Force, IETF) 工作 的 那 
腔 热血 的 工程 师 们 的 愤怒 。 这 条 建议 也 成 为 当时 因特网 工程 任务 组 每 次 议 
首要 议题 。 

在 这 些 辩 论 之 后 ， 当 时 Png 工作 组 的 联合 主席 ，Deering 和 Hinden, F 1998 
录 下 全 部 的 辩论 成 果 ， 然 后 将 这 些 成 果 提 交 到 互联 网 工程 指导 小 组 

















(Internet Engineering Steering Group, IESG), RFC 编辑 来 发 布 。 当 时 我 们 许多 


人 都 
有 着 
像 雨 
使 用 
使 用 
而 且 
KF 








BGP) ， 考 虑 用 掩 码 来 标识 地 址 格式 中 网 络 号 和 主机 号 的 扩展 。 再 加 上 各 地 区 的 





因 特 
To 











功能 





期 待 着 会 立刻 有 人 努力 来 实现 这 一 协议 。 在 网 络 快速 发 展 的 年 代 里 ， 一 直 
一 个 特殊 的 忧虑 ， 那 就 是 网 络 地 址 的 使 用 率 过 快 增长 。 新 的 互联 网 公司 就 
后 春笋 一 样 大 量 地 置 了 出 来 。 在 IPng 辩论 的 同时 ， 也 进行 着 控制 [Pv4 地 址 
的 努力 ， 如 重新 诠释 地 址 结构 的 每 一 位 等 的 做 法 也 在 如 火 如 节 地 进行 着 。 
为 无 类 域 间 路 由 (Classless Interdomain Routing, CIDR) 的 算法 ， 通 过 人 允许 
任意 的 位 数 来 区 别 网 络 号 和 主机 号 ， 让 IP 地 址 使 用 得 更 加 充分 和 高 效率 。 
， 自 治 系统 (Autonomous System, As) 的 概念 也 被 引入 ， 它 结合 相关 指标 
明 边 界 位 置 。 男 外 ， 还 改进 了 边界 网 关 协 议 (Board Gateway Protocol, 




















网 登记 处 使 用 的 异常 严格 的 规则 ，IPv4 地 址 空间 的 消耗 速度 从 根本 上 减缓 
IPv4 地 址 规划 得 如 此 好 ， 以 至 于 实现 IPv6 的 压力 慢 慢 地 消散 了 。 

网 络 地 址 转换 (Network Address Translation, NAT) 功能 也 被 采用 了 。 这 个 
允许 多 部 设备 使 用 私有 的 网 络 地 址 ， 并 且 共 同 使 用 同一 公有 地 址 空间 。 在 




















一 个 局 域 网 中 ，NAT 技术 通过 使 用 端口 号 来 映射 公 网 地 址 与 各 个 设备 使 用 的 私 


网 地 
可 以 





址 。 这 个 实践 的 成 功 吸 引 了 电缆 和 无 线 通信 设备 的 制造 商 ， 因 为 它们 现在 
最 大 限度 地 让 更 多 的 设备 来 共享 一 个 JP 地址 。NAT 技术 大 大 增长 了 互联 网 














服务 提供 商 的 因特网 服务 的 注册 用 户 数 。 


这 些 多 样 的 措施 延续 了 IPv4 地 址 的 使 用 ， 直 到 2011 年 2 月 互联 网 地 址 编码 
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分 配 机 构 (Internet Assigned Numbers Authority, IANA) 在 互联 网 名 称 和 数字 地 
址 分 配 机 构 (Internet Corporation for Assigned Names and Numbers, ICANN) fy # 
助 下 召开 会 议 ， 宣 布 该 组 织 已 经 没有 可 分 配 的 IPv4 地 址 。 各 地 区 的 因特网 登记 
处 (ARIN, LACNIC, RIPE-NCC, AFRINIC, APNIC) 依然 还 有 地 址 可 供 分 配 。 
但 是 不 久 ， 在 2011 年 的 4 月 APNIX 的 IPv4 地 址 就 耗 尽 了; 2012 年 9 H, RIPE- 
NCC 也 宣布 它 的 IPv4 地 址 已 经 耗 尺 了 。 一 个 以 IPv4 地 址 空间 的 交易 市 场 已 经 形 
成 ， 可 是 没 能 满足 真正 的 需求 。 

物 联 网 已 经 距离 我 们 越 来 越 近 了 。 移 动 设备 使 用 LTE 技术 传输 数据 ， 这 需 
要 端 到 端的 通信 和 能力 。 同 样 的 ， 对 于 机 顶 盒 ， 传 感 嚣 设备， 配备 互联 网 功能 的 
汽车 ， 不 计 其 数 的 家 用 和 办 公 电 器 ， 还 有 那些 可 以 区 入 在 我 们 身体 中 的 设备 ， 
也 是 这 样 的 。 解 决 这 个 问题 唯一 明智 的 方法 就 是 在 兼容 IPv4 地 址 的 同时 ， 实 现 
IPv6 地 址 。 我 们 不 能 简单 地 “ 抛 出 一 个 开关 ”就 能 实现 网 上 的 所 有 设备 从 IPv4 
寻 址 到 IPv6 寻 址 的 转换 。 这 个 过 渡 需 要 多 年 的 时 间 。 
这 个 长 期 的 过 渡 使 我 们 需要 具备 非常 续 密 的 设计 、 细 致 的 控制 实现 及 周全 
的 管理 系统 ， 从 而 能 够 同时 处 理 当 前 网 络 和 各 种 设备 中 的 IPv4 和 IPv6。 我 们 不 
能 为 了 简单 化 而 把 地 址 空间 全 部 设计 成 单纯 IPv4 或 者 单纯 IPv6 的 “孤岛 "。 可 
移动 或 便携 式 的 设备 会 经 常 遇 到 IPv4 和 IPv6 混合 的 环境 。 这 对 于 那些 缺少 IPv4 
地 址 空间 的 因特网 区 域 来 说 ， 确 实 是 个 不 错 的 机 会 来 使 用 纯 的 IPv6 地 址 。 复 杂 
的 运行 环境 不 仅 会 包含 经 过 NAT 的 IPv4 地 址 ， 而 且 也 含有 IPv6 的 端 到 端 传输 。 
所 以 ， 网 络 工程 师 的 书架 〈 或 者 在 笔记 本 、ipad 、 手 机 、 云 端 、 数 码 阅读 器 ) 
上 需要 有 一 本 由 Michale Dooley 和 Timothy Rooney 写 的 本 书 也 就 不 足 为 奇 了 。 

配置 和 网 络 管理 是 很 难 的 ， 对 于 一 个 混合 了 两 种 卫 数 据 报 结构 的 环境 ， 这 
类 的 操作 更 加 困难 。 即 便 是 一 个 普通 的 故障 ， 如 光纤 被 切断 等 ， 都 会 使 两 个 协 
议 产 生 错误 信息 。 网 络 管理 系统 在 过 滤 、 关 联 、 分 类 不 同 的 错误 信息 和 状态 或 
者 来 自 一 个 混合 IP 寻 址 环境 的 警告 信息 等 功能 上 ， 都 需要 更 加 智能 。IPv6 协议 
中 较 大 数据 报头 部 会 导致 分 片 ， 或 者 使 为 了 避免 分 片 阻 塞 而 要 发 现 最 小 数据 
报 的 过 程 复 杂 化 。 这 里 只 有 很 少 的 问题 需要 回答 。 任 何 体 系 结构 的 系统 只 
考虑 使 用 双 协 议 栈 的 环境 ， 都 会 发 现 本 书 是 您 的 得 力 助手 ， 是 您 所 需 建议 的 
源泉 。 

现在 开始 这 些 实现 是 非常 及 时 的 。 在 这 个 十 年 的 剩余 几 年 中 ， 我 们 会 看 到 
羽 特 网 会 在 许多 方面 产生 巨大 的 变化 和 扩展 ， 这 些 变化 不 仅 表现 在 各 个 系统 中 
相关 设备 的 大 量 增长 。 

某 些 因特网 服务 提供 商 (Internet Service Provider, ISP) 以 “用 户 没 有 要 求 
IPv6” 为 借口 而 延缓 了 IPv6 的 实现 。 在 我 看 来 ， 用 户 不 需要 知道 任何 关于 IPv6 
的 知识 。 用 户 们 都 有 一 个 合情合理 的 期 望 ， 认 为 他 们 的 ISP 会 自动 地 实现 双 协 议 
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栈 ， 而 不 用 用 户 自 己 去 问 。 在 IPv4 地 址 全 部 耗 尽 之 前 ， 尽 管 使 用 了 NAT 技术 ， 
但 不 尽快 实现 双 协 议 栈 都 是 不 负责 任 的 做 法 。 我 们 必须 尽快 地 完成 这 个 过 渡 期 ， 
实现 全 连接 的 IPv6 网 络 。 这 并 不 意味 着 我 们 要 抛弃 IPv4 的 使 用 ， 只 是 我 们 需要 
IPv6 网 络 能 像 现 在 IPv4 做 到 的 一 样 ， 而 且 我 们 现在 就 需要 。 


Vint Cerf 


我 们 要 感谢 Vint Cerf 为 这 本 书写 了 前 言 ; 我 们 感到 很 荣幸 。 我 们 也 要 感谢 
的 主编 、 在 IEEE 出 版 社工 作 的 Thomas Plevyak， 当 然 还 有 Micha 
也 们 花 了 许多 时 间 审 阅 本 书 ， 并 且 提 供 了 许多 非常 有 用 


BAF 


Vincent 和 Jeff Schmidt, 1 
的 反馈 和 意见 。 

Michael: 我 也 要 谢谢 
的 女儿 Kelly， 谢 谢 他 们 在 我 撰写 这 本 
谢 他 们 让 我 能 专心 致 志 地 写 书 而 不 被 分 散 注意 力 。 同 时 我 也 不 能 态 记 我 的 


Bailey, 
RE AA 


致 ” 谢 


| AA 











它 总 是 来 推 我 完 它 一 下 ， 


我 的 家 人 ， 我 的 妻子 Suzanne， 我 的 儿子 小 Michale， 
期 间 给 予 我 深 深 的 爱 和 坚定 的 支持 ， 谢 


[世界 上 最 好 、 最 聪明 的 人 一 起 工作 ， 真 心 祝福 人 

















el 


我 


i 





让 我 休息 片刻 。 我 要 谢谢 我 的 朋友 和 同事 ，1 
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第 1 章 IPv6 实施 的 动力 


1.1 因特网 : 一 个 成 功 的 故事 


因特网 (Internet) 已 经 产生 很 和 人 了， 从 20 世纪 60 年 代 美 国 国 防 部 的 一 个 
有 抗 毁 性 的 互相 连接 的 网 络 ， 已 经 演化 成 一 个 全 球 性 的 通信 方式 。Tim Berners- 
Lee 发 明了 万 维 网 (WWW, Word Wide Web) ， 定 义 了 超 文本 格式 ， 从 而 连接 了 
不 同 的 信息 ， 并 且 这 些 信 息 可 以 方便 地 由 浏览 需 获 取 。 万 维 网 加 上 那个 简单 的 
只 需 通过 点 击 来 进行 的 用 户 交 互 手 段 ， 让 因特网 从 政府 和 科学 家 的 实验 室 进入 
了 寻常 百姓 家 。Email 是 第 二 重要 的 因特网 应 用 ， 它 也 促进 了 20 世纪 90 年 代 中 
期 对 因特网 服务 的 广泛 应 用 。 今天 的 因特网 用 户 会 发 现 这 些 丰 富 的 信息 和 各 式 
各 样 不 同 的 应 用 程序 在 他 们 的 生活 中 不 可 或 缺 。 假 如 著名 的 网 络 应 用 ， 像 
Facebook 、Youtube 、Twitter 、Google 、Blogger， 网 购 及 新 闻 网 站 ， 甚 至 那些 出 色 
的 电子 邮箱 服务 突然 消失 了 ， 大 多 数 人 会 变 得 无 所 适 从 。 

但 是 目前 ， 因 特 网 中 丰富 的 信息 和 大 量 的 应 用 程序 也 不 是 世界 各 地 都 能 
便 地 访问 的 。 图 1-1 所 示 的 世界 各 地 因特网 渗透 率 ， 这 是 因特网 世界 统计 
(Internet World Stats) 网 站 的 统计 数据 ， 描 绘 了 在 2012 年 中 期 不 同 地 区 的 因 特 
网 的 渗透 率 ， 它 是 由 当地 因特网 用 户 量 占 总 人 口 比 例 来 衡量 的 。 只 有 1/3 强 的 
世界 人 口 可 以 使 用 因特网 。 因 特 网 渗透 率 在 北美 是 最 高 的 ， 超 过 78% ; 欧洲 次 
Z, 约 63%; 在 亚洲 人 口中 ， 渗 透 率 只 有 约 28% 。 

再 从 另 一 个 角度 来 看 相同 的 数据 ， 图 1-2 所 示 为 世界 各 地 因特网 用 户 的 比 
例 。 对 比 图 1-1 和 图 1-2 所 示 ， 我 们 可 以 注意 到 ， 虽 然 在 亚洲 的 因特网 渗透 率 是 
28% , 但 是 亚洲 的 因特网 用 户 是 最 多 的 ， 有 十 亿 之 多 ， 占 世界 因特网 用 户 的 
45% 。Internet World Stats 网 站 估计 世界 因特网 用 户 达 到 24 亿 。 

因为 世界 因特网 用 户 渗透 率 只 有 34% ， 看 起 来 似乎 还 有 很 大 的 增长 空间 ; 
而 且 ， 由 于 存在 每 个 人 需要 多 台 不 同 设备 的 可 能 性 ， 这 个 会 产生 对 IP 地 址 的 大 
量 需 求 。 但 是 ， 什 么 样 的 环境 会 促进 这 样子 的 增长 呢 ? 最 近 一 个 世界 银行 的 调 
查 报 告 显示 : 在 中 低 收入 国家 ， 每 10% 的 互联 网 渗透 率 的 增长 对 应 1. 12% 的 国 
家 的 平均 经 济 增长 〈 以 国内 生产 总 值 衡量 ) ”1 。 另 一 方面 ，10% 的 宽带 渗透 率 平 
均 带 来 1.38% 的 GDP 增长。 报告 还 赞扬 了 宽带 建设 带 来 的 社会 经 济 福利 ， 包 括 
增加 就 业 、 增 加 创业 机 会 、 提 供 社会 联系 及 提供 公共 基础 信息 服务 。 即 使 有 些 























































































































2 IPv6 部 署 和 管理 





TT 343% 
非洲 = 15.6% 
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图 1-1 世界 各 地 因特网 渗透 率 吕 
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图 1-2 世界 各 地 因特网 用 户 的 比例 


国家 会 限制 对 于 一 些 内 容 或 应 用 的 使 用 ， 经济 和 因特网 的 增长 关系 还 是 很 难 被 
忽视 的 。 

在 过 去 的 十 年 显示 强劲 的 增长 趋势 。 图 1-3 给 出 了 因特网 用 户 和 世界 渗透 
率 的 增长 情况 。 这 看 起 来 就 是 呈 比 全 增长 。 表 1-1 给 出 了 世界 各 地 因特网 用 户 
增长 情况 ， 其 中 包括 2000 ~ 2011 年 各 地 区 的 年 复合 增长 率 (Compound Annual 
Growth Rate，CAGR) ， 世 界 平 均 复 合 年 增长 率 是 18% 。 
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图 1-3 因特网 用 户 和 世界 渗透 率 的 增长 情况 
表 1-1 世界 各 地 因特网 用 户 增长 情况 
地 区 2000/ 百 万 20117 百 万 CAGR (%) 
非洲 4.5 139.9 37 
亚洲 114.3 1016.8 22 
欧洲 105. 1 500. 7 15 
中 东 3.3 77.0 33 
北美 洲 108.1 273. 1 9 
拉丁 美洲 /加 勒 比 18.1 235. 8 26 
大 洋 洲 /澳大利亚 7.6 23.9 11 
世界 总 数 361.0 2267. 2 18 














内 容 提供 商 或 者 “制造 者 (producers)” 的 数量 在 因特网 上 也 在 快速 增长 ， 
这 是 通过 新 网 站 的 数量 来 衡量 的 (根据 英国 Netcraft 公司 中 (一 家 互联 网 研究 与 
安全 服务 公司 ) 提供 的 数据 )。 如 图 1-4 所 示 ， 到 2012 年 6 月 ， 发 现 的 唯一 网 
络 主机 名 的 总 数 达 到 近 七 亿 ， 其 中 活跃 网 站 ( 非 模 板 (non-template)， 仪 根据 
注册 信息 ) 将 近 有 两 亿 。 两 种 度量 值 都 在 过 去 两 年 中 加 速 上 涨 。 在 某 一 个 时 间 
点 以 后 也 许 新 的 想 要 拥有 自己 的 网 站 和 主机 的 组 织 机 构 只 能 注册 IPv6 地 址 来 提 








供 服务 。 
1.1.1 供应 方面 的 问题 





考虑 到 因 特 用 户 和 内 容 提供 


商 数量 持续 增长 的 历史 、 相 对 不 高 的 渗透 率 和 


因特网 增长 带 来 的 经 济 利益 这 系列 因素 以 后 ， 有 理由 相信 因特网 用 户 需求 和 生 
产 者 需求 将 会 持续 上 升 。 不 幸 的 是 ， 如 今 IPv4 地 址 分 配 能 力 不 足 以 支持 这 种 需 
求 的 增长 。 而 IPv4 地 址 枯竭 之 时 ， 无 论 从 哪 点 来 看 ， 唯 一 可 以 用 来 文 持 这 种 地 
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图 1-4 已 测量 的 因特网 网 站 数量 中 


址 分 配 需求 的 协议 只 有 IPv6。 

因特网 名 称 和 数字 地 址 分 配 机 构 (Internet Assigned Names and Numbers 
Authority, IANA) 在 2011 年 2 月 3 日 宣布 已 经 分 配 出 最 后 一 个 地 址 空间 给 区 域 
因特网 注册 管理 机 构 «(Regional Internet Registty，RIR) ， 那 一 天 其 实 就 是 所 知 的 
因特网 末日 的 开始 。 图 1-5 所 示 的 IP 地 址 空间 层次 ， 解 释 了 IP 地 址 空间 的 “ 食 
物 链 (food chain)”, JL, IANA 把 基础 地 址 块 分 配给 RIR, IANA 是 因特网 名 
称 和 编号 分 配 公 司 (Internet Corporation for Assigned Names and Numbers, 
ICANN) 的 一 个 部 门 ， 而 ICANN 本 身 是 一 个 由 世界 各 地 成 员 组 成 的 非 音 利 性 公 
益 组 织 。IANA 是 因特网 域名 的 中 心 协调 主体 ， 管 理 着 域名 系统 (Domain Name 
System, DNS) 的 根 (root) 域名 和 一 些 其 他 最 高 等 级 (top-level) 的 域名 、 因 
特 网 号 码 资源 CIP 地 址 ) ， 以 及 协议 任务 (特定 协议 的 参数 ， 如 动态 主机 配置 
协议 (Dynamic Host Configuration Protocol, DHCP) 的 可 选 参数 的 任务 ) 。 

RIR 是 一 个 负责 将 它们 从 IANA 得 到 的 地 址 空间 在 它们 对 应 的 地 区 进行 地 址 
分 配 的 组 织 : 

© AfriNIC (Africa Network Information Centre) 一 一 非洲 地 区 。 











e ARIN (American Registry for Internet Numbers) 一 一 北美 地 区 ,包括 波多 


第 1 章 IPv6 实施 的 动力 5 








RIPE 其 他 
国家 
IRS 
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本 地 本 地 本 地 .. 
IR/ISP IR/ISP IR/ISP IR/ISP 
| | | 


图 1-5 IP 地 址 空间 层次 多 
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黎 各 和 一 些 加 勒 比 海岛 。 

e LACNIC (Regional Latin- American and Caribbean IP Address Registry) 一 一 
拉丁 美洲 和 一 些 加 勒 比 海岛 。 

e RIPE NCC (Reseaux IP Europeens Network Coordination Centre) 一 一 欧洲 、 
中 东 和 亚洲 中 部 。 

RIR 负责 分 配 IP 地 址 给 国家 因特网 注册 管理 机 构 (National Internet 
Registriy, National IR) 、 当 地 因特网 注册 管理 机 构 (Local Internet Registry, LIR) 
和 互联 网 服务 提供 商 (Internet Service Provider，ISP) 。 它 分 配 IP 地 址 时 会 遵循 
以 下 原则 ; 

o 了 唯一 性 (Uniqueness) ， 每 一 个 IP 地 址 必须 是 世界 唯一 的 ， 以 保证 全 球 因 
特 网 选 路 。 

。 聚合 (Aggregation) ， 分 级 的 地 址 空间 分 配 保证 了 对 因特网 上 IP 流量 的 合 
理 路 由 。 没 有 聚合 ， 路 由 表 会 变 得 破碎 不 堪 ， 这 最 终 会 造成 因特网 中 的 一 个 大 
瓶颈 。 

e 保护 (Conservation) ， 特 别 是 IPv4 ， 但 也 包括 IPv6， 地 址 必须 根据 实际 的 
需求 进行 分 配 。 

e 登记 ( Registration) , 一 个 公共 可 访问 的 IP 地 址 分 配 记录 ， 可 以 减少 分 歧 
并 且 可 以 在 解决 纷争 时 起 到 帮助 。 这 个 记录 就 叫做 WHOIS 数据 库 。 今天, 已 经 
有 很 多 WHOIS 数据 库 。 只 不 过 现在 这 些 数据 库 不 再 仅 是 由 RIR 运作 ， 还 可 能 由 
LIR/ISP 运作 。 

e 公 正 〈Fairness) ， 主 要 根据 地 址 的 实际 需求 而 非 长 期 的 计划 来 不 偏 不 倚 地 
分 配 地 址 。 
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不 论 如 何 努力 通过 技术 来 延长 IPv4 的 生命 ,如 网 络 地 址 转换 (Network 
Address Translation, NAT) 和 无 类 别 域 间 路 由 (Classless Inter- Domain Routing, 
CIDR), A RIR 的 对 IPv4 地 址 空间 的 转变 和 销售 的 策略 ， 最 终 RIR 都 会 给 自 
己 的 子 组 织 分 配 出 自己 最 后 的 IPv4 地 址 空间 。 而 ISP 最 终 也 会 分 配 地 址 给 它们 
的 消费 者 〈 一 般 是 企业 业务 ) 而 耗 尽 自己 的 IPv4 资源 。APNIC 和 RIPE NCC 
RIR 早 就 用 尽 了 自己 对 应 的 IPv4 地 址 空间 。 


11.2 在 十 字 路 口 的 因特网 


而 这 一 切 又 意味 着 什么 呢 ? 当 IPv4 地 址 在 某 一 给 定 RIP 区 域 ISP 中 分 配 殖 
尽 的 时 候 ， 当 这 个 区 域 任 何 一 个 新 的 机 构 在 要 求 新 的 IP 地 址 空间 ， 或 者 现 有 机 
构 要 求 追加 IP 地 址 空间 时 ， 就 会 被 分 配 一 个 IPv6 的 地 址 。 新 的 机 构 在 网 上 初次 
出 现时 ， 它 们 将 只 能 通过 IPv6 进行 访问 。 而 新 的 “ 纯 IPv6” 组 织 持续 加 入 网 
络 ， 则 会 导致 互联 网 组 成 由 纯 IPv4 互联 网 慢 慢 转变 成 Pwd 和 IPv6 的 混合 互联 
网 。 至 于 IPv6 协议 在 互联 网 中 的 密度 究竟 会 增长 得 多 快 ， 最 后 能 增长 到 什么 程 
度 ， 还 有 待 观察 。 

纯 IPv6 用 户 的 增长 应 该 最 早 会 出 现在 亚洲 。 如 图 1-6 所 示 ， 根 据 国 际 货币 
基金 组 织 (International Monetary Fund, IMF) 的 统计 结果 , 亚洲 主要 国家 ( 特 
别 是 中 国 和 印度 ) 的 经 济 在 最 近 几 年 比 世 界 其 他 地 方 增长 得 更 迅速 。 从 2000 年 
到 2011 年 ， 中 国 的 年 平均 CDP 增长 率 是 10.2% ， 印 度 的 是 7. 1% ， 而 世界 平均 
值 是 2.7% 。 这 样 就 相应 增加 了 可 支配 的 收入 ， 以 及 政府 在 通信 技术 (如 宽带 和 
无 线 ) 上 的 基础 设施 投资 。 英 国 Point Topic 有 限 公 司 分 析 认 为 ,在 2012 年 上 半 
年 世界 上 增加 的 宽带 几乎 一 半 在 亚洲 。 英 国 Point Topic 公司 的 报告 和 Internet 
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Al 1-6 IMF 统计 的 2006 年 ~2010 年 世界 及 部 分 国家 、 地 区 的 GDP 增长 情况 
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World Stats 网 站 的 相 呼 应 ，Internet World Stats 网 站 的 报告 认为 虽然 亚洲 有 世界 
最 多 的 互联 网 用 户 量 ， 差 不 多 有 十 亿 , 但 是 它 的 互联 网 渗透 率 是 低 于 地 界 平均 
IKE (33%) 的 ， 只 有 约 28% 。 

虽然 在 2012 年 增 速 有 一 些 下 降 ， 但 是 因特网 用 户 的 增长 率 仍 然 十 分 高 ， 这 
刺激 了 区 域 和 世界 的 服务 提供 商 实 施 转 换 网 关 、 隧 道 代 理 等 一 系列 类 似 技术 。 
这 些 将 在 本 书 第 3 童 详细 描述 (这些 技术 都 是 些 保证 IPv4 和 IPv6 网 络 相互 通信 
的 技术 一 一 译 者 注 ) 。 根 据 所 选择 的 方法 ， 这 些 技术 会 为 服务 提供 商 提供 用 户 驻 
地 设备 (Customer Premises Equipment，CPE ) ， 这 个 用 户 驻 地 设备 会 配置 IPv4 或 
IPv6 地 址 并 有 能 力 访问 任何 IPv4 或 IPv6 的 目的 地 。 服 务 提供 商 将 必须 使 客户 能 
够 同时 访问 两 种 协议 ， 以 避免 客户 抱怨 说 日 己 是 IPv4 使 用 者 而 不 能 访问 IPv6 资 
源 或 说 自己 是 IPv6 使 用 者 却 不 能 访问 IPv4 资源 。 


1.1.3 使 用 哪 一 种 因特网 


现在 可 以 很 明确 地 知道 ， 如 今 的 因特网 是 在 转型 的 关键 点 。 在 这 个 时 候 ， 也 
许 你 会 问 亚洲 部 署 IPw6 和 自己 有 什么 关系 。 其 实 理由 很 简单 ， 无 处 不 在 的 因特网 
都 要 面 对 这 个 问题 。 假 设 每 一 个 有 丰富 IPv4 地 址 的 组 织 持续 管理 一 个 现存 的 纯 的 
IPv4 的 网 络 ， 那 么 那些 新 增加 的 IPv6 的 用 户 将 无 法 访问 它们 。 与 之 相对 ， 这 些 纯 
IPv4 网 络 的 用 户 也 无 法 访问 那些 纯 IPv6 的 网 络 内 容 。 不 幸 的 是 ， 现 在 没有 先天 的 
IPv4 与 IPv6 的 转化 机 制 ， 所 以 把 一 个 IPv6 的 包 发 送 给 一 个 IPv4 的 网 络 服务 器 会 导 
致 这 个 包 在 到 达 服 务 带 之 前 就 被 丢弃 。 因 此 一 个 分 又 的 互联 网 可 能 会 衍生 出 两 个 
不 同 版 本 的 网 络 层 。 这 将 是 最 不 幸 的 ， 更 是 目光 短 浅 的 。 

不 仅 无 所 不 在 的 因特网 正 处 在 关键 点 上 ， 世 界 各 国 的 竞争 力 和 领导 力也 处 在 
这 样 一 个 转变 的 关键 点 上 。 欧 洲 RIPE NICC 组 织 定期 的 图 表 报 告 '” 显示 了 在 自己 
广告 中 把 IPv6 加 在 前 绥 里 的 边际 网 关 协议 的 自治 区 (BGP ASN) 的 比例 。 边 际 网 
关 协 议 (Border Gateway Protocol, BGP) 是 在 互联 网 主干 网 络 上 的 路 由 协议 。 而 每 
一 个 自治 区 编号 (Autonomous System Number, ASN) 代表 一 个 组 织 。 在 2012 年 ， 
所 有 地 区 都 经 历 了 超过 32% 的 IPv6 互联 网 路 由 数量 的 增长 。 到 写本 书 时 ， 世 界 上 
差不多 有 15% 的 组 织 (ASN) 已 经 获取 IPv6 地 址 空间 ， 并 且 部 署 了 IPv6， 至 少 保 
证 了 其 外 部 可 达 性 。 如 果 你 的 竞争 对 手 在 这 之 中 ， 新 兴 的 需要 使 用 IPv6 的 市 场 ， 
特别 是 亚洲 市 场 ， 那 么 你 究竟 能 多 快 地 做 出 反应 ? 总 的 来 说 ， 支 持 一 个 不 断 发 展 
的 现 有 的 可 通达 世界 各 地 的 网 络 是 IPv6 部 署 时 首要 考虑 的 因素 。 
























































1.2 新 兴 的 应 用 


除了 无 处 不 在 的 IPv4/IPv6 网 络 之 外 ， 一 些 新 兴 的 使 用 IPv6 的 应 用 将 会 给 人 
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们 的 生活 带 来 极 大 的 变化 。 虽 然 技 术 上 可 支持 IPv4， 这 个 “聪明 的 ”应 用 有 很 
高 的 移动 性 ， 很 大 的 地 址 空间 ， 并 且 可 以 根据 当前 网 络 位 置 自动 分 配 地 址 ， 这 
些 特征 都 不 是 IPv4 能 很 好 地 支持 的 。 昌 然 大 多 数 为 IPv6 协议 设计 的 特征 与 IPv4 
协议 的 有 很 多 相 接近 的 等 价 特征 ， 使 得 可 以 重新 应 用 在 IPv4 身上 ， 但 是 地 址 扩 
展 确实 是 IPv6 的 一 个 独一无二 的 优势 。 别 的 改进 包括 通过 更 有 效 的 路 由 、 地 址 
自动 分 配 、 在 网 际 的 报 文 分 段 ， 来 提升 包 路 由 效率 ,来 提升 移动 性 ， 通 过 人 简化 
IPv6 头 结构 来 提升 路 由 性 能 。 

从 来 没有 人 怀疑 过 IPv6 全 地 址 空间 地 址 分 配 能 力 。 而 地 址 的 自动 配置 和 对 
移动 性 的 支持 也 满足 了 主要 由 快速 增长 的 移动 设备 驱动 而 持续 增长 的 互联 网 的 
需求 。 但 是 ， 另 一 方面 ， 这 些 能 力也 为 一 类 新 的 应 用 提供 了 环境 ， 如 远程 传 感 
器 可 以 监视 、 侦 察 和 报告 给 中 心 应 用 处 理 。 这 种 新 兴 应 用 是 以 机 器 到 机 峰 
(Machine to Machine, M2M) 的 通信 为 基础 的 。M2M 定义 了 机 器 间 通 信 的 结构 
和 方法 ,来 收集 大 量 的 “大 数据 ”信息 ， 以 供 人 类 使 用 。 

图 1-7 给 出 了 基本 的 M2M 的 结构 。 从 图 的 底部 开始 ， 最 底部 部 署 的 是 有 特 
定 功用 的 传 感 需 (Sensor) ， 它 通过 聚合 器 (Aggregator) 把 监控 状态 报告 更 新 给 
M2M 网 关 。 一 个 为 监控 一 个 特定 物体 而 使 用 的 传感器 群 会 包含 一 个 M2M 区 域 网 
关 。 聚 合 器 可 以 被 部 署 用 于 接收 和 处 理 来 自 M2M 区 域 网 关内 部 的 传感器 群 的 最 
新 信息 。 在 一 些 情况 下 ， 传 感 器 会 直接 同 M2M 网 关 通 信 ， 而 在 其 他 情况 下 是 由 
聚合 器 传递 传感器 信息 给 M2M 网 关 ， 这 个 聚合 器 可 能 是 一 个 传感器 ， 也 可 能 是 
别 的 如 手机 一 样 的 设备 。 









































传感器 传感器 





图 1-7 基本 的 M2M 结构 
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M2M 网 关 会 把 聚合 了 的 传感器 的 信息 发 送 给 M2M 应 用 服务 器 ， 而 这 个 服务 
器 将 处 理 的 最 新 信息 展示 给 应 用 使 用 者 。M2M 服务 器 也 可 能 对 传感器 报告 的 数 
据 进 行 分 析 以 发 出 警告 ， 或 者 主动 通知 用 户 一 些 侦 查 到 的 事件 。 而 这 个 “附加 
价值 (valued-added) ”处 理 能 力 ， 对 于 将 来 自 千 百 万 的 传 感 需 输入 的 数据 预 处 
理 成 一 个 可 执行 的 按 重要 度 划 分 清晰 的 监控 元 素 视 图 是 十 分 重要 的 。 

随 着 尺寸 、 成 本 和 能 耗 的 不 断 减少 ，M2M 传 感 右 设备 可 被 用 于 各 种 不 同 的 
功能 ， 并 支持 相应 应 用 。M2M 传感器 通过 无 线 电 与 其 他 传感器 、 聚 合 器 或 者 网 
关 进 行 通信 ， 提 供 传 感 顺 最 新 信息 给 相应 应 用 进行 分 析 。 从 IP 层 的 角度 来 看 ， 
RFC 6568 5 定义 了 “在 低 耗 能 无 线 个 人 空间 网 络 上 的 IPv6 的 设计 和 应 用 空间 
(IPV6 over Low-power Wireless Personal Area Network, 6LoWPAN )”。 这 个 
6LoWPAN 结构 和 M2M 对 应 得 很 好 ，LoWPAN 节点 和 传感器 对 应 ， 当 地 控制 节点 
和 M2M 聚合 器 对 应 。 而 网 关 接 口 则 在 OLOWPAN 结构 的 IP 层 中 贯穿 一 个 
LoWPAN 的 边际 路 由 器 。 

M2M 和 6LoWPAN 技术 为 服务 提供 商 和 传感器 、 应 用 开发 者 开辟 了 新 的 市 
场 ， 扩 展 了 对 公用 事业 、 政 府 当 局 、 医 疗 机 构 和 许多 部 门 更 多 的 服务 。 下 面 介 
绍 一 些 M2M 和 6LoWPAN 应 用 的 例子 。 

e 智能 应 用 (smart applications) 。 为 许多 智能 资源 管理 系统 和 客户 服务 系 
统 ， 提 供 一 个 对 于 一 些 没有 察觉 到 的 大 量 数据 的 中 心 视觉 。 这 些 系统 包括 : 

o 智能 网 格 (smart grid)。 根 据 需 求 自动 调控 电力 、 水 、 天 然 气 等 资源 ,， 减 
少 资 源 浪费 ， 节 省 消费 者 公用 事业 账单 。 

o 智能 汽车 (smart cars) 。 在 汽车 里 边 的 诊断 的 和 使 用 的 传感器 ， 可 以 提供 
性 能 报告 、 发 现 并 修复 故障 、 提 供用 坏 的 组 件 的 通知 、 推 荐 的 服务 检查 及 自动 
给 出 碰撞 检测 和 报告 。 

o 智能 家 庭 (smart homes), 。 对 房子 远程 监控 ， 远 程控 制 电 、 制 热 、 制 冷 、 
光照 、 娱 乐 设施 和 出 入。 

o 城市 和 工业 的 监控 和 监视 (Municipal and Industrial Surveillance and Monito- 
ring) 。 物 理 访问 的 控制 和 监控 、 极 端 条 件 下 的 环境 监控 (如 自然 灾害 、 火 灾 、 
水 灾 ) 、 结 构 监 测 和 交通 监测 。 

。 野外 应 用 (Field Applications) 。 舰 艇 的 管理 、 调 度 和 舰 载 交 通 工 具 的 远程 
言 息 处 理 。 

o 卫生 保健 (Healthcare) 。 远 程 监视 病人 的 重要 生命 的 信号 ; 诊断 和 药物 管 
理 ;“ 身 体 区 域 网 络 ” (body area networks); 严格 的 医用 库存 环境 的 监视 ， 如 血 
效 、 器 官 的 保存 环境 。 

e 工业 (Industrial)。 工 厂 流水 线 监视 、 诊 断 程序 、 资 源 控制 、 供 应 链 管 理 、 
作业 管理 和 控制 无 线 网 络 提供 的 可 达 性 。 
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e 军事 (Military) 。 战 场 专用 网 络 通过 不 同 士兵 的 传感器 向 军事 指挥 报告 状 
态 更 新 。 

这 些 应 用 和 别 的 与 它们 相似 的 应 用 通常 需要 部 署 成 百 上 千 甚 至 百 万 的 传 感 
器 ， 这 些 传感器 的 度量 和 状态 信息 必须 传送 给 中 央 应 用 服务 器 ， 以 供 处 理 和 展示 。 
M2M 结构 是 以 一 些 十 分 常见 的 途径 来 文 持 这 些 功能 的 ， 这 些 途 径 包 括 网 络 接 人 
(network access) 、 可 靠 通信 (reliable communication ) 、 安 全 保障 (security) 和 集 
中 管理 (centralized management) 。 

可 能 会 出 现 非常 多 的 M2M 设备 ， 可 以 认为 IPv6 提供 了 这 样 一 个 逻辑 网 络 
层 ， 它 被 “设计 ”(designed in) 以 提供 非常 大 增长 空间 ， 特 别 是 当 新 的 M2M 应 
用 出 现时 可 以 避免 之 后 对 IPv6 的 升级 。 自 动 配置 特性 对 M2M 也 十 分 有 益 ， 因 为 
当 传感器 被 部 署 并 且 被 从 省 电 模式 唤醒 的 时 候 ， 它 们 可 能 会 需要 通过 通告 路 由 
(router advertisement) 确定 自己 连接 的 网 络 ， 并 且 通 过 接口 ID (Interface ID) 获 
得 IPv6 地 址 。 当 成 功 通过 冲突 地 址 检测 过 程 (duplicate address detection process) 
后 ， 这 个 地 址 就 是 活跃 (active) WTO. Ba, vere IPv6 协议 在 于 与 标准 组 相 
关 的 应 用 以 及 许多 包括 IPv6 支持 和 IPv4 支持 的 应 用 。 






































1.3 IPv6 商业 案例 





每 一 个 组 织 必须 要 确定 几 个 问题 : 是否 需 要 部 团 I Pv6， 什么 时 候 部 署 IPv6 
和 如 何 部 署 IPv6。 在 “无 作为 ”到 “完全 部 署 I Pv6” 的 连续 区 域 中 间 有 很 多 不 
同等 级 的 实现 方法 。 对 于 那些 怀疑 IPv6 的 实施 是 否 必 要 的 人 ， 本 书 的 建议 是 ， 
至 少 要 了 解 进行 定量 分 析 部 署 IPv6 时 需要 做 的 事 ， 这 样 在 一 些 网 络 事件 或 者 新 
闻 刺 激 了 你 的 领导 ， 使 他 打 电 话 给 你 让 你 尽快 实施 IPv6 的 时 候 ， 你 能 很 快 地 实 
施 。 下 面 将 会 讨论 这 个 高 级 过 程 (也 就 是 分 析 IPv6 实施 需要 做 的 事情 的 过 程 ) 。 
如 果 你 打算 开始 向 前 进 ， 对 于 之 后 工作 的 必要 的 深入 讨论 将 在 本 书 第 4 章 展 开 。 
然而 ， 最 初 的 练习 是 有 益 于 帮助 你 了 解 进行 快速 部 署 需要 什么 ， 以 及 大 约 需要 
多 长 时 间 的 。 

毫 无 疑问 ， 因 特 网 无 论 是 在 用 户 量 上 还 是 在 内 容量 上 都 还 在 持续 增长 。 这 
个 增长 必然 会 稀释 几乎 100% 的 IPv4 网 络 密度 ， 也 必然 会 产生 一 个 越 来 越 混 合 
的 网 络 。 同 时 支持 IPv4 和 IPv6 为 你 的 组 织 保持 网 络 的 可 达 性 并 不 是 非常 困难 
的 ， 但 也 不 是 非常 简单 的 。 部 署 IPv6 需要 对 现存 的 IPv4 网 络 进行 分 析 ， 确 定 
IPv6 部 署 范围 ， 确 定 网 络 设备 、 应 用 或 终端 的 升级 或 修改 ， 以 及 管理 整个 项 目 


























O ”地址 状态 更 多 的 细节 将 在 本 书 第 2 章 讨论 。 
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直到 项 目 结束 。 本 书 的 目的 之 一 就 是 帮助 你 实现 这 整个 过 程 。 

在 开始 这 个 过 程 之 前 ， 需 要 你 对 所 有 的 资源 分 配 做 出 合理 解释 。 从 开始 
IPv6 部 署 项 目 或 该 项 目的 发 现 和 评估 阶段 ， 资 本 支出 和 费用 的 支付 就 必须 要 非 
常 清楚 。 获 取现 有 网 络 和 计算 系统 的 文档 可 以 帮助 你 分 析 发 现 过 程 和 评估 过 程 
甚至 是 整个 部 署 过 程 的 费用 。 

在 以 收益 的 提升 、 费 用 的 降低 和 /或 销售 损失 的 减少 来 衡量 带 来 的 好 处 方 
面 ， 在 你 的 业务 中 还 应 该 分 析 以 下 各 点 : 

© 持续 利润 增长 ， 特 别 是 对 于 依靠 IP 连接 性 的 服务 提供 商 。 

o 现存 的 世界 性 因特网 ， 如 果 你 的 组 织 为 世界 各 地 的 客户 提供 服务 或 产品 。 
一 开始 不 执行 IPv6 的 机 会 成 本 是 那些 IPv6 用 户 无 法 访问 你 的 网 站 。 由 于 因特网 
的 发 展 很 大 程度 上 取决 于 IPv6 的 用 户 增 长 ， 你 的 组 织 将 错失 这 些 潜在 的 增长 。 
此 外 你 的 内 部 用 户 也 无 法 访问 到 IPv6 网 络 上 的 资源 。 

© 如 果 你 所 在 的 组 织 属于 信息 技术 产业 领域 ,IPv6 的 使 用 将 产生 更 多 的 影 

响 ， 可 增加 企业 的 竞争 优势 。 
越 来 越 多 的 雇员 把 他 们 自己 的 设备 (Bring Your Own Device, BYOD) 带 来 
上 班 ， 很 多 现在 和 未 来 的 便携 设备 都 支持 IPv6， 而 且 很 多 主流 的 操作 系统 都 默 
认 支 持 IPv6。 如 果 你 的 工作 伙伴 只 有 IPv6 的 地 址 空间 ， 那 么 你 至 少 应 该 想 办 法 
为 和 这 种 地 址 空间 进行 联系 而 支持 IPv6。 

e 在 拥有 用 户 终端 设备 IPv6 的 支持 后 ， 其 IPv6 通信 量 的 网 络 可 见 性 。 对 于 
IPv6 原生 和 隧道 网 络 及 来 自 外 部 使 用 IPv6 的 探查 和 攻击 的 察觉 和 可 视 化 ， 对 于 
网 络 安全 是 十 分 必要 的 。 

o 使 用 IPv6 特有 的 特征 来 支持 新 型 应 用 ， 特 别 是 移动 性 和 自动 配置 。 

e 为 IT 或 者 运作 团队 提供 一 个 有 趣 而 又 有 挑战 的 工作 环境 。 据 我 所 知 ， 管 
理 一 个 IPv4/IPv6 环境 肯定 比 管理 一 个 单独 协议 的 网 站 要 复杂 ， 但 这 也 对 雇员 的 
知识 增长 和 事业 发 展 有 益 。 

e 由 于 规则 和 法 律 要 求 而 支持 IPv6。 

你 也 许 希 望 根据 IPv6 网 络 的 密度 来 描述 机 会 成 本 。 例 如 ， 某 个 时 间 IPv6 网 
络 用 户 和 网 址 在 互联 网 上 达到 20% ， 这 也 许可 以 代表 一 个 足够 大 的 人 口 数量 ， 
来 证 明 部 署 IPv6 并 且 与 包括 那 20% 的 整个 因特网 相通 的 正确 性 。 这 仅 是 一 个 你 
们 组 织 需 要 做 的 决策 黑 了 。 但 无 论 这 个 密度 是 1% 还 是 99% ， 有 一 个 在 一 个 特定 
时 间 开 始 部 署 IPv6 的 计划 对 你 来 说 都 是 十 分 重要 的 。 

基本 的 项 目 授权 过 程 如 图 1-8 所 示 ， 它 是 从 定义 这 个 项 目的 目标 开始 的 。 
一 个 或 者 多 个 上 面 提 到 的 好 处 可 以 作为 你 这 个 部 署 过 程 的 目标 ， 它 也 可 以 帮助 
你 关注 部 署 实施 的 范围 。 有 了 你 的 目标 、 范 围 、 对 网 络 文档 的 高 等 级 的 评估 及 
这 本 书 概述 的 过 程 ， 你 应 该 可 以 预测 出 资源 费用 和 时 间 期 限 。 根 据 你 的 组 织 的 
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不 同 ， 对 项 目 具体 批准 的 程度 的 期 望 也 会 不 同 。 也 许 你 只 是 希望 批准 发 现 和 评 
佑 阶段 之 后 重新 遍历 整个 项 目 ， 那 之 后 再 考虑 整体 的 批准 。 


开始 IPv6 定义 IPv6 
批准 阶段 部 署 目标 


标 和 总 体 目 
标 时 间 点 

















进行 高 等 
级 的 分 析 










展示 高 等 级 
的 计划 〈 阶 





IPv6 计 
划 流 程 






缩小 规模 或 
a 逐步 执行 计 





图 1-8 基本 的 项 目 授权 过 程 


根据 你 决策 的 准则 ， 评 估 你 的 网 络 、 找 出 差距 和 创建 项 目 计 划 ， 无论 是 对 
立刻 执行 部 署 或 者 是 对 延迟 执行 部 署 都 有 帮助 。 本 书 描述 的 整个 部 署 过 程 包括 
五 个 基本 步 又 ， 如 图 1-9 所 示 。 本 章 已 叙述 了 批准 过 程 ， 这 是 一 个 需要 对 部 署 
目标 、 部 署 范围 、 部 署 计 划 、 部 署 预 算 和 IPv6 部 署 神 益 的 基本 定义 。 本 书 下 面 
很 多 内 容 将 描述 下 一 个 阶段 一 一 计划 阶段 。 这 个 阶段 对 于 减少 意外 发 生 ， 并 让 
整个 部 署 过 程 更 加 顺畅 十 分 重要 。 本 书 对 计划 阶段 的 四 个 核心 方面 各 分 一 章 描 
述 ， 内 容 包括 : 网 络 和 计算 基础 设施 的 评估 和 计划 、IP 地 址 的 计划 、 安 全 计划 , 
以 及 网 络 管理 计划 。 一 个 有 效 的 计划 之 后 是 部 署 实施 阶段 ， 这 个 阶段 包括 初始 
测试 和 在 部 署 运作 后 的 验证 过 程 。 


IPv6 项 目 ti IPv4/IPv6 不 再 使 用 


图 1-9 整个 部 署 过 程 


一 旦 部 署 完成 ， 除 了 一 些小 的 修改 和 小 的 添加 ， 对 IPv4/IPY6 网 络 的 管理 过 
程 和 单独 管理 IPv4 网 络 的 一 样 。 在 某 一 个 时 间 点 ， 也 许 是 可 预见 的 未 来 ，IPv4 
将 会 退休 。 现 在 这 个 时 间 点 很 难 预计 ， 但 是 某 一 天 这 一 定 会 发 生 ， 虽 然 不 大 可 
能 会 在 今后 的 20 年 内 发 生 。 

在 开始 对 计划 过 程 各 个 核心 方面 详细 描述 之 前 ， 十 分 有 必要 先 了 解 IPv6 和 
那些 在 IPv4 网 络 里 实施 IPv6 所 用 到 的 技术 和 策略 。 本 章 第 2 章 和 第 3 章 先 讨论 
这 两 方面 内 容 。 之 后 的 章节 将 会 描述 计划 过 程 、 配 置 过 程 和 管理 过 程 。 
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TPv6° FH IPv4 演变 而 成 ， 但 是 IPv6 却 并 不 与 IPv4 兼容 2。 这 种 不 兼容 使 得 
IPv6 需要 在 IPv4 上 另外 进行 部 署 。 本 书 第 3 章 描述 了 多 种 使 得 IPv4/IPv6 兼容 的 
技术 。IPv6 建立 的 一 个 主要 目标 就 是 要 根据 过 去 20 年 使 用 IPv4 的 经 验 对 IPv4 
进行 重新 设计 。IPv4 对 现实 世界 中 的 应 用 支持 从 一 开始 就 被 设计 进 了 IPv6， 这 
包括 对 安全 性 、 多 播 、 移 动 性 和 自动 配置 的 支持 。 

IPv6 与 IPv4 最 显著 的 不 同 点 是 IPv6 对 IP 地 址 字段 进行 了 极 大 的 扩充 。 这 
是 因为 IPv4 使 用 的 是 32 位 地 址 ， 而 IPv6 使 用 了 128 位 。 一 个 32 位 地 址 空间 可 
以 提供 最 多 2 的 32 次 方 ， 约 42 亿 个 地 址 ; A a 
128 WIT, 23.4 x10” 个 地 址 9S。 下 面 用 一 些 实际 情况 了 解 一 下 这 个 庞大 的 数字 
吧 ， 例 如 : 

© 对 于 拥有 65 亿 人 口 的 地 球 来 说 ， 平 均 每 人 可 以 拥有 5 x10* 个 IP 地址。 

o 对 于 地 球 表面 来 说 ， 平 均 每 英寸 土地 都 可 以 分 配 4.3 x10” 个 了 下 地 址 。 

e 离 我 们 最 近 的 仙女 座 星系 ， 大 约 有 250 万 光 年 的 距离 ， 如 此 长 的 距离 ， 每 
纳米 上 可 以 分 配 到 1400 万 个 IP 地 址 。 

如 同 IPv4 一 样 ， 由 于 低 效 的 子 网 划分 ， 并 不 是 每 一 个 IPv6 地 址 都 被 充分 利 
用 , 但 是 一 点 点 地 址 的 浪费 对 于 这 么 庞大 的 IPv6 地 址 容量 来 说 可 以 说 是 微 不 足 
道 的。 除了 这 看 起 来 用 之 不 竭 的 IP 地 址 ，IPv6 和 IPv4 也 有 许多 相似 的 地 方 。 例 
如 ， 在 最 基本 的 层次 ,“IP 数据 报 ” 的 概念 也 同样 适用 于 IPv6; 又 如 IPv4 中 数 
据 报 头 、 数 据 报 内 容 、 协 议 层 、 数 据 报 路 由 、CIDR 分 配 、 互 联网 控制 报 文 协议 
(Internet Control Message Protocol ，ICMP) ， 多 播 寻 址 等 ， 也 是 如 此 。 



































2.1 IPv6 主要 特性 


IETF 尝试 将 IPv4 演化 成 IPv6。 这 种 从 IPv4 迁移 到 IPv6 的 演化 策略 计划 使 





~ 版 本 5 从 来 没有 作为 IP 的 官方 版 本 实现 ，IP 报头 的 版 本 号 “5” 分 配给 表示 携带 一 个 称 为 ST 
的 实验 的 实时 流 协 议 的 包 ， 即 因特网 流 协 议 ， 如 果 你 想 了 解 更 多 有 关 ST 的 内 容 ， 请 查看 本 书 参 
考 文献 [10] RFC 1819, 

O ”本章 部 分 信息 基于 本 书 参考 文献 [11], 

四 “我们 用 美国 的 undecillion， 即 10% ， 而 不 是 英国 的 定义 10% 。 
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得 IPv6 提供 许多 新 特性 ， 这 些 新 特性 建立 在 使 IPv4 如 此 成 功 的 基础 概念 上 。 
IPv6 的 主要 特性 包括 以 下 儿 项 . 
o 扩展 寻 址 一 一 128 位 分 层 分 配 的 地 址 范围 ( 如 本 地 链 路 和 全 球 ) 去 提升 扩 





展 性 。 
e 路 由 一 一 强大 的 分 层 路 由 ， 支 持 路 由 聚合 。 








。 性 能 一 一 简单 (不 可 靠 、 无 连接 ) 数据 报 服务 。 
o 可 扩展 性 一 一 新 的 灵活 的 扩展 头 为 新 头 类 型 提供 更 好 的 扩展 性 和 更 高 效 的 
路 由 。 


e 多 媒体 流标 签 头 字段 促进 服务 质量 (Quality of Service, QoS) 支持 。 
。 多 播 一 一 强制 代 蔡 广播 。 

e 安全 一 一 内 置 的 身份 验证 和 加 密 ， 尽 管 不 是 强制 的 。 

e 自动 配置 一 一 IP 设备 的 无 状态 及 有 状态 地 址 的 自动 配置 。 

© 移动 性 一 一 移动 IPv6 支持 改进 的 网 络 路 由 和 漫游 。 





2.2 IPv6 报头 


IPv6 报头 如 图 2-1 所 示 。 可 以 看 到 源 地 址 和 目标 地 址 长 度 是 IPv4 的 四 倍 ， 
而 IPv6 报头 的 大 小 仅 是 IPv4 的 两 倍 。IPv6 报头 字段 如 下 : 

版 本 (Version ) 。 互 联网 协议 ， 这 里 版 本 为 6。 

流量 类 别 (Traffic Class) 。 这 个 字段 类 似 IPv4 的 服务 类 型 /分 区 服务 
( Differentiated services) 字段 ， 用 来 区 分 流量 类 型 或 者 流量 的 优先 权 ， 以 此 来 请 
求 响应 的 路 由 服务 。 

流标 签 (Flow label) 。 可 以 根据 源 地 址 和 目标 地 址 从 “ 流 ” 中 区 分 报 文 的 
归属 。 这 是 为 了 在 一 个 通信 对 话 中 保证 高 效 和 一 致 的 路 由 服务 。 

有 效 负 载 长 度 (Payload length) 。 这 表示 在 基本 IPv6 报头 之 后 的 部 分 还 有 多 
少 个 字 节 ， 显 示 了 IPv6 的 负载 长 度 。 如 果 有 扩展 报头 (Extension Head) 的 话 ， 
也 是 载荷 的 一 部 分 ， 并 且 计 算 在 负载 长 度 之 内 。 

下 一 个 报头 (Next Header) 。 这 个 字段 指明 了 当前 报头 之 后 还 有 哪 种 扩展 报 
头 。 这 可 能 是 一 个 上 层 协 议 的 报头 (A TCP、ICMPv6 ) ， 或 者 一 个 扩展 报头 。 扩 
展 报头 可 以 用 来 提供 一 些 额 外 的 信息 ， 如 路 由 、 分 段 、 选 项 和 一 些 有 需要 时 与 
报 文 关联 的 其 他 参数 ， 并 非 像 IPv4 一 样 要 求全 部 报头 都 包含 这 些 字段 ,而且 参 
数 的 编码 就 跟 那 些 已 有 的 IPv4 头 字段 中 的 编码 一 样 。 

跳 数 限制 (Hot Limit), PE IPv4 中 的 生存 时 间 (Time To Live, TTL) 字段 一 
样 ， 这 个 字段 指出 了 这 个 报 文 在 被 丢弃 之 前 拥有 多 少 跳 数 ， 每 一 次 路 由 转发 该 
报 文 时 都 会 对 这 个 字段 进行 递减 操作 。 
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流量 类 别 流标 签 
8 位 20 位 
有 效 负 载 长 度 BORA 跳 数 限制 
16 位 8 位 8 位 


源 IP 地 址 
128 位 


目标 他 地 址 
128 位 





2-1 IPv6 报头 


VR IP thik (Source IP Address) 。 包 发 送 者 的 IPv6 地 址 。 
目标 IP 地址 (Destination IP Address) 。 报 文 预期 接收 者 的 IPv6 地 址 。 


2.2.1 IPv6 扩展 报头 


下 一 个 报头 (The Next Header) 字段 是 IPv6 提供 的 一 种 方式 ， 以 尽量 减少 
IPv6 报头 的 开销 ， 同 时 还 能 够 用 于 串联 其 他 因 某 些 目的 被 需要 的 报头 ， 如 图 2-2 
所 示 。 图 中 , 左 侧 的 主要 IPv6 报头 结构 表明 下 一 个 报头 (Next Header) 的 值 为 
0， 之 后 是 逐 跳 报头 ( Hop-by- Hop header) ， 接 着 是 验证 报头 (Authentication 
Header) ， 再 然后 是 TCP 报头 ， 最 后 是 传送 给 上 层 的 负载 数据 。 


Se XA eae 


2-2 IPv6 扩展 报头 


不 同 的 报头 类 型 具有 不 同 的 优先 级 顺序 ， 以 最 小 化 IP 包 路 由 路 径 上 的 路 由 
器 在 深入 分 析 IPv6 报头 时 对 资源 的 要 求 。 在 IPv6 报 文 经 过 的 路 径 上 的 每 一 个 节 
点 ， 包 括 路 由 器 ， 需 要 检查 报 文 是 否 存在 逐 跳 选项 、 路 由 报头 和 shim6 报头 。 因 
此 所 需 的 IPv6 扩展 报头 顺序 见 表 2-1。 
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表 2-1 IPv6 扩展 报头 顺序 
顺 序 报头 类 型 下 一 个 头 代码 
1 基本 IPv6 报头 〈 上 面 描述 ) N/A 
2 逐 跳 选 项 一 一 必须 由 报 文 所 经 过 的 路 径 上 的 每 个 节点 检查 0 
. 目标 地 址 选项 一 一 参数 用 于 处 理 出 现在 基本 报头 目标 地 址 字 本 
段 第 一 个 目标 地 址 及 其 随后 路 由 报头 中 列 出 的 目标 地 址 
i 路 由 报头 一 一 最 初 定义 的 源 路 由 (0 型 路 由 报头 ) 已 经 被 弃 
用 ,1 型 并 没有 使 用 ，2 型 则 用 于 移动 
SHIM6 多 宿主 报头 一 用 于 在 多 宿主 环境 提供 连通 性 (连接 a 
到 多 个 ISP) 
6 分 段 报头 一 一 关于 被 分 割 成 多 个 部 分 而 发 送 的 报 文 的 信息 44 
7 验证 报头 一 一 提供 完整 性 校 验 值 (Integrity Check Value, ICV) ši 
用 于 验证 报 文 的 完整 性 和 源头 
封装 安全 负荷 (Encapsulating Security Payload ，ESP) 一 一 提供 
8 了 一 个 混合 的 安全 服务 包括 数据 来 源 认 证 、 数 据 完 整 性 、 具 有 50 
序列 码 完整 性 的 防 重 放 和 有 限 的 机 密 性 (加密) 
9 移动 报头 一 一 移动 IPv 6 信息 135 
10 目标 地 址 选项 于 处 理 最 终 目标 地 址 的 参数 60 
7TCP 一 一 传输 控制 协议 6 
上 层 VDP 一 一 用 户 数据 报 协议 17 
ICM Pv 6 一 一 IPv 6 因特网 控制 报 文 协议 58 


























新 的 扩展 报头 可 能 用 IETF RFC 过 程 规范 化 ， 尽 管 IETF 推荐 在 已 有 的 逐 跳 
报头 增加 新 的 逐 跳 扩展 选项 和 在 已 存在 的 目的 地 址 报头 中 添加 目的 地 址 选项 。 
这 会 降低 报 文 丢失 的 风险 ， 因 为 由 于 安全 策略 无 法 识别 新 定义 的 下 一 个 报头 值 。 


2.3 IPv6 寻 址 


IPv6 地 址 的 类 型 有 3 Pho ER IPv4 一 样 ， 这 些 地 址 识别 为 接口 而 不 是 节点 。 
所 以 ， 可 以 通过 任 一 接口 寻 址 一 个 拥有 两 个 接口 的 打印 机 。 打 印 机 可 以 根据 任 
意 一 个 接口 到 达 ， 但 是 打印 机 本 身 没 有 一 个 回环 地 址 2 。 当 然 ， 对 于 最 终 用 户 尝 
试 访问 一 个 节点 ，DNS 可 以 隐藏 这 个 细节 使 得 一 个 主机 名 可 以 映射 到 多 个 接口 





O “许多 路 由 器 和 服务 器 产品 通过 软件 回环 地 址 支持 “盒子 地 址 (box address) ”的 概念 ， 这 个 回环 地 


址 不 要 和 127.0.0.1 或 :: 1 























可 环 地 址 混淆 。 这 使 得 报 文 可 以 到 达 设 备 的 但 


E=, 
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地 址 。 

单 播 ， 单 个 接口 的 IP 地 址 。 这 类 似 一 个 IPv4 主机 地 址 的 常见 的 解释 ( 非 多 
播 / 非 广播 /32 位 IPv4 HEHE) 。 

任 播 ， 一 组 接口 的 卫 地 址 ， 通 常 属于 不 同 的 节点 ， 其 中 的 任何 一 个 都 可 以 
是 接收 者 。 发 往 任 播 地 址 的 报 文 会 被 路 由 到 配置 有 任 播 地 址 节点 的 最 近 的 接口 
(根据 路 由 表 度 量 值 ) 。 它 的 意思 是 发 送 者 并 不 关心 报 文 会 被 哪 一 个 特定 的 主机 
或 者 接口 接收 ， 但 是 分 享 共 k 同 任 播 地 址 的 其 中 一 个 会 接收 这 个 报 文 。 任 播 地 址 
与 单 播 地 址 一 样 被 分 配 相同 的 地 址 空间 。 因 此 ， 不 能 直接 区 分 出 单 播 地 址 和 任 
播 地 址 。 任 播 地 址 常用 来 提供 最 近 的 路 由 到 目标 服务 ， 如 通过 使 用 一 个 共享 P 
地 址 的 DNS。 这 提供 了 简化 客户 端 配置 的 好 处 ， 使 得 可 以 总 是 使 用 相同 的 任 播 
IP 地 址 来 查询 一 个 DNS (不 管 你 的 客户 端 连接 的 网 络 在 哪里 ) 。 

多 播 ， 一 组 接口 的 了 P 地 址 ， 通常 属于 不 同 的 节点 ， 其 中 任意 一 个 都 可 以 作 
为 接收 者 。 这 一 点 很 像 IPv4 中 的 多 播 。 与 IPv4 不 同 的 是 ，IPv6 不 支持 广播 。 作 
为 替代 ， 应 用 程序 ， 如 DHCP, 在 IPv4 中 使 用 广播 而 在 IPv6 中 使 用 多 播 。 

一 个 设备 的 接口 可 能 有 多 个 不 同类 型 的 IP 地址 。IPv6 也 定义 了 一 个 本 地 链 
接地 址 范围 来 唯一 标识 接口 使 其 附属 于 一 个 特定 的 链接 ， 如 LAN。 新 建 的 范围 
域 可 以 被 用 来 管理 每 个 站 点 或 者 每 个 组 织 ， 稍 后 将 会 在 本 章 讨论 。 


2.3.1 地 址 符号 


回想 一 下 ，IPv4 地 址 是 在 点 分 十 进 制 格式 下 ， 分 成 4 个 8 位 段 ， ‘aes 
地 址 ， 每 一 个 都 被 转换 成 十 进 制 ， 然 后 用 “点 ”分 隔 。 如 果 觉 得 记 住 一 连 4 个 
数字 都 困难 ,那么 IPv6 会 更 加 难 。IPv6 地 址 不 以 点 分 十 进 制 进行 表达 ， 它 们 使 
用 冒号 分 隔 的 十 六 进 制 格式 。 从 位 的 角度 来 说 ，128 位 的 IPv6 地 址 分 为 8 个 16 
位 段 ， 每 个 段 转 换 成 十 六 进 制 ， 然 后 用 冒号 分 开 。 每 个 十 六 进 制 的 “数字 ” 代 
表 每 一 个 十 六 进 制 数 (0 ~f) 到 4 位 二 进 制 映射 。 每 一 个 十 六 进 制 数 对 应 于 二 
进 制 四 位 的 值 为 















































0 =0000 4=0100 8 =1000 c =1100 
1 =0001 5 =0101 9 =1001 d=1101 
2 =0010 6 =0110 a=1010 e=1110 


3 =0011 7=0111 b=1011 f=1111 


将 128 位 的 IPv6 地 址 从 二 进 制 转换 十 六 进 制 后 ，IPv6 地 址 每 个 16 位 的 段 换 
算 成 4 位 的 十 六 进 制 数 并 用 冒号 分 隔 开 。 这 里 用 术语 nibble 代表 4 位 二 进 制 数 或 
者 1 位 十 六 进 制 数 ， 用 术语 sedectet 表示 16 位 二 进 制 数 或 者 4 位 十 六 进 制 数 。 
因此 ， 有 8 个 以 冒号 分 开 的 sedectet 值 ， 呈 现 出 的 IPv6 地 址 如 图 2-3 所 示 。 
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00100000 00000001 0000110110111000 01011111 01100010 10101011 01000001 RRA OO ...000 MRR 00001000 00000001 


20 01 0d O 8 5 f 62 ab 0 1 





2001 :0db8:5f62:ab41:0000:0000:0000:0801 


图 2-3 IPv6 地 址 〈 二 进 制 转换 为 十 六 进 制 ) 











并 不 像 处 理 以 点 分 隔 、0 ~ 255 的 4 个 十 进 制 组 的 IPv4 地 址 一 样 ，IPv6 地 址 
由 以 冒号 分 开 的 8 个 在 0000 ~fff 的 sedectet 值 组 成 。 有 下 面 两 种 缩写 形式 可 以 
表示 IPv6 地 址 : 

第 一 种 ， 在 冒号 之 间 的 一 个 sedectet 中 出 现 前 导 零 时 ， 这 个 sedectet 可 以 被 简 
化 。 因 此 ， 图 2-3 的 地 址 可 以 被 简写 为 

2001 ; db8 ; 5f62 : ab41 : 0 : 0 : 0 : 801 

第 二 种 ， 是 一 种 缩写 形式 ， 使 用 双 冒 号 代表 一 个 或 者 多 个 零 sedectet 连续 

集 。 使 用 这 个 形式 的 缩写 ， 上 面 的 地 址 可 以 进一步 缩写 为 
2001 : db8 ; 5f62 : ab41 :: 801 

请 注意 ， 一 个 地 址 只 能 用 一 次 双 冒 号 表示 。 因 为 总 共有 8 个 sedectet 地 址 
段 ， 可 以 很 容易 地 计算 出 一 个 双 冒 号 表示 多 少 个 0。 但 是 ， 如 果 有 多 个 双 冒 号 就 
可 能 会 得 出 不 同 的 答案 。 

考虑 地 址 2001: db8: 0: 56fa: 0: 0: 0: p5。 可 以 用 下 面 任意 一 种 形式 的 
缩写 地 址 : 

2001 : db8 :: 56fa: 0 : 0 : 0 : b5 或 2001 ; db8 : 0 : 56fa :: b5 

在 第 一 种 情况 下 ， 可 以 很 容易 计算 出 双 冒 号 表示 一 个 sedectet (8 减 去 7) 。 在 
第 二 种 情况 下 也 可 以 很 容易 得 出 双 冒 号 表示 3 个 sedectet (8 减 去 5)。 如 果 将 此 地 
址 缩写 成 2001: db8:: 56fa:: b5， 就 不 能 明确 解码 ， 它 可 能 代表 下 面 任 一 地 址 : 

2001 : db8 : 0; 56fa : 0 : 0 : 0 : b5 
2001 : db8 : 0 : 0 : 56fa : 0 : 0 : b5 
2001 : db8 : 0 : 0 : 0 : 56fa; 0; b5 

因此 ， 要 求 一 个 IPv6 地 址 中 只 能 出 现 一 次 双 冒 号 。 根 据 RFC 5652 《推荐 的 一 
种 IPv6 地 址 文本 表示 》 (本 书 参 考 文献 [14] ) ， 正 确 的 缩写 是 缩写 最 长 的 连续 0 
段 或 有 相同 段 数 的 0 sedectet 时 缩减 第 一 段 ， 示 例 2001: db8: 0; 56fa:; b5 WIE 
确 的 缩写 形式 。 顺 便 说 一 句 ，RFC 5652 还 规定 使 用 小 写字 母 的 十 六 进 制 数 。 

你 可 能 会 注意 到 IPv6 地 址 后 绥 为 百 分 号 后 面 跟 一 些 数字 或 者 文本 ， 如 
fe80:: 9848:: e2fl; 6d42 a87 % 11 或 a87 fe80:: 9848;; e2fl; 6d42% ethO, 
这 个 百分比 符号 划 出 了 IPv6 地 址 范围 有 时 候 被 称 为 “scope ID” BK “zone”, 
scope ID 值 是 由 本 地 主机 的 操作 系统 通过 识别 地 址 的 网 络 拓扑 范围 来 定义 的 。 例 
如 ， 按 照 本 地 接口 、 本 地 连接 、 全 球 地 址 或 者 管理 要 求 来 定义 拓扑 范围 。 例 如 ， 
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前 文 描述 的 IPv6 地 址 范围 可 以 定义 一 个 本 地 链 路 地 址 范围 的 本 地 接口 。 拓 扑 区 
域 (zone) 的 格式 与 组 合 是 由 设备 的 操作 系统 来 定义 的 。 


2.3.2 地 址 结构 


IPv6 地 址 分 为 以 下 三 个 部 分 : 

(1) 全 局 路 由 前 绥 是 类 似 一 个 IPv4 网 络 号 ， 并 用 于 通过 路 由 器 的 数据 报 转 
发 到 具有 对 应 的 网 络 前 级 的 路 由 器 。 例 如 ， 一 个 ISP 的 客户 可 能 会 被 分 配 一 个 / 
48 大 小 的 全 局 路 由 前 级 ， 所 有 通 往 这 个 客户 的 数据 报 将 会 包含 相应 的 全 局 路 由 
前 级 值 。 在 这 种 情况 下 ， 如 图 2-4 所 示 ，n =48。 当 表示 一 个 网 络 ， 全 局 路 由 前 
缀 在 斜 线 后 被 写 人 ， 紧 接着 的 是 网 络 的 大 小 ， 称 为 前 缀 的 长 度 。 假 设 IPv6 地 址 
为 2001: db8: 5f62: ab41:: 801, 存在 /48 全 局 路 由 前 级 ， 这 个 前 级 地 址 将 表 
示 为 2001: db8: 5f62:; /48。 








全 局 路 由 前 缀 接口 ID 
(nfit) (128-n-m fir) 


图 2-4 IPv6 地 址 结构 51 


请 注意 ， 在 IPv6 中 使 用 的 “网 络 斜 线 前 缀 长 度 ”CIDR 表示 法 与 IPv4 使 用 
的 类 似 。 与 IPv4 一 样 ， 前 绥 长 度 以 外 的 位 表示 为 零 值 的 网 络 地 址 ( 本 例 中 的 第 
49 ~128 位 ) ， 用 双 冒 号 终止 。 

(2) 子 网 ID 提供 了 一 种 方法 来 表示 组 织 内 的 特定 子 网 。 具 有 /48 的 ISP 客 
户 会 使 用 16 位 二 进 制 来 表示 子 网 ID ， 它 提供 了 2“、 共 计 65535 个 子 网 。 在 这 种 
情况 下 ， 如 图 2-4 所 示 , m=16, XIE] 128 -48 -16 =64 位 给 接口 ID T, 

(3) 接口 ID 表示 报 源 或 收 件 人 的 接口 地 址 。 正 如 之 后 将 会 讨论 的 ， 全 局 单 
播 地 址 到 目前 已 经 分 配 使 用 的 空间 需要 一 个 64 位 的 接口 ID 字段 9 。 

这 个 IPv6 地 址 结构 将 一 个 网 络 ID (由 全 局 路 由 前 级 、 子 网 ID 组 成 ) 从 接 
口 ID 中 分 离 出 来 。 该 结构 的 特性 可 以 使 一 个 设备 保留 相同 的 接口 ID 同时 ， 独 立 
地 连接 到 网 络 ， 有 效 地 根据 接口 ID 区 分 “你 是 谁 ”， 根 据 网 络 前 缀 分 辩 “ 你 在 
哪 "。 正 如 所 看 到 的 ， 本 公约 方便 了 地 址 的 自动 配置 ， 虽 然 不 是 没有 隐私 问题 。 
但 是 这 方面 的 讨论 现在 超前 了 一 点 ， 所 以 后 退 一 点 儿 看 一 看 目前 IPv6 地 址 空间 
分 配 情况 。 这 是 由 IANA 来 负责 管理 的 。 


2. 3.3 IPv6 地 址 分 配 
目前 被 IANA 分 配 的 IPv6 地 址 空间 见 表 2-2， 下 面 将 进一步 讨论 。 这 些 分 配 


























O 除了 点 到 点 路 由 器 ， 各 链 路 可 以 在 每 端 用 1 位 或 者 用 一 个 127 位 的 网 络 前 级 1 。 
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的 IPv6 地 址 占 不 到 14% 的 地 址 空间 。 
表 2-2 目前 被 IANA 分 配 的 了 Pv6 地 址 空间 '™] 



























































IPv6 前 级 二 进 制 形 式 “| IPvy6 空间 的 相对 大 小 分 配 

Site sad we IETF 保留 一 一 未 指定 地 址 (::) 和 回路 
地 址 〈:: 1) 在 这 块 分 配 

2000:: /3 001 1/8 全 局 单 播 地 址 空间 

4000:: /3 010 1/8 IETF 保留 

6000:: /3 011 1/8 IETF 保留 

8000: ; /3 100 1/8 IETF 保留 

a000;; /3 101 1/8 IETF 保留 

c000:: /3 110 1/8 IETF 保留 

e000:: /4 1110 1/16 IETF 保留 

f000:: /5 11110 1/32 IETF 保留 

{800:: /6 1111 10 1/64 IETF 保留 

fc00:: /7 1111 110 1/128 唯一 的 本 地 单 播 地 址 

fe00:: /9 1111 11100 1/512 IETF 保留 

fe80:: /10 1111 1110 01 1/1024 本 地 链 路 单 播 地 址 

fec0:: /10 1111 1110 11 1/1024 IETF 保留 

ff00:: /8 1111 1111 1/256 多 播 地 址 














2.3.3.1 :: /3 一 一 预 留 空间 

前 级 [000], 的 地 址 空间 是 现在 ETF 预 留 的 地 址 空间 。 在 这 个 空间 的 地 址 
拥有 独特 意义 的 包括 未 指定 〈::) 地 址 和 回路 (:: 1) 地 址 。 本 书 参考 文献 
[15] RFC 4291 《IPv6 寻 址 体系 结构 规范 》， 要 求 所 有 单 播 IPv6 地 址 ， 除 了 那些 
在 预 留 地 址 空间 内 的 地 址 〈 即 除了 那些 以 :: 73 ( [000],) 开始 的 ) 必须 使 用 
64 位 接口 ID 字段 。 这 个 接口 ID 字段 必须 利用 修正 的 EUI-649 算 法 映射 接口 的 
第 二 层 或 硬件 地 址 到 一 个 接口 ID。 因 此， 在 地 址 :: /3 内 的 地 址 空间 可 以 具有 
任意 长 度 的 接口 ID 字段 ， 跟 IPv6 单 播 地 址 空间 其 他 那些 必须 用 64 位 接口 ID 字 
段 的 部 分 不 一 样 。 
2.3.3.2 2000:: /3 一 一 全 局 单 播 地 址 空间 

到 目前 为 止 ， 全 局 单 播 地 址 空间 分 配 了 2000:: 73, 代表 2” (大 约 4.25 x 
107) 个 卫 地 址 。 鉴 于 在 上 述 IPv6 寻 址 结构 (RFC 4291) 定义 的 64 位 接口 ID ， 











© EUI-64 指 的 是 由 IEEE 定义 的 64 位 扩展 唯一 标识 符 ， 本 章 后 面 涉及 修正 的 EUI - 64 算法 。 
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RFC 3587 定义 的 全 局 单 播 地 址 格式 并 如 图 2-5 所 示 。 
0 23 47 48 63 64 127 


0 0 1| 全 局 路 由 前 级 接口 ID 
(45 位 ) (64 位 ) 


习 2-5 全 局 单 播 地 址 格式 "3 


前 三 位 是 [001], 表明 全 局 单 播 地 址 空间 。 接 下 来 的 45 位 是 全 局 路 由 前 级 ， 
紧 跟着 16 位 子 网 ID 和 64 位 接口 DD。 目 前 的 指导 方针 要 求 互 联网 服务 提供 商 分 
配 /48 网 络 给 它们 的 客户 ， 从 而 将 全 局 路 由 前 绥 分 配给 用 户 。 然 后 ， 每 个 用 户 可 
以 定义 多 达 65535 个 唯一 子 网 ， 每 个 子 网 中 还 剩 下 16 位 子 网 ID 字段 。 
2. 3. 3.3 fc00:: /7 一 一 唯一 本 地 地 址 空间 

在 本 书 参 考 文献 [19] REC 4193 中 定义 的 唯一 本 地 地 址 (Unique Local 
Address, ULA) 空间 ， 旨 在 提供 通常 在 一 个 站 点 内 的 本 地 分 配 和 路 由 的 IP dh 
tik, REC 4193 指出 : “这 些 地 址 没有 被 期 待 成 为 全 局 因特网 路 由 地 址 。” 因 此 ， 
FEAR REC 1918 中 严格 定义 私有 的 IPv4 地 址 空间 一 样 ， 唯 一 本 地 地 址 空间 本 质 
上 是 私有 地 址 空间 ， 提 供 “ 本 地 ” 寻 址 同时 仍然 具有 较 高 概率 保证 全 局 唯一 。 
唯一 本 地 地 址 空间 的 格式 如 图 2-6 所 示 。 

0 678 47 48 63 64 127 
AME PMID 

(Cl na) (16 位 ) 
2-6 ”唯一 本 地 地 址 格式 '”] 


前 7 位 , 第 0~6 位 是 [1111 110], =fec00:: /7， 它 标识 了 唯一 本 地 地 址 。 
第 8 位 ， 如 果 全 局 ID 是 本 地 分 配 的 ，“L” 位 设置 为 “1”。 而 “L” 位 设置 为 
“0” 标识 未 定义 ， 虽 然 互联 网 社区 (如 IETF) 讨论 通过 互联 网 注册 机 构 启 用 该 
设置 实现 全 局 唯一 的 本 地 地 址 。40 位 全 局 ID 字段 用 来 标识 全 局 唯一 前 级 ， 它 必 
须 通过 伪 随 机 算法 分 配 ， 而 不 是 顺序 的 。 在 任 一 情况 下 ， 生 成 的 /48 BAR 
织 的 ULA 地 址 空间 ， 从 而 可 以 使 子 网 分 配给 内 部 使 用 。 子 网 是 由 一 个 16 位 的 子 
网 ID 来 定义 ， 它 的 接口 ID 是 64 位 字段 。 

一 个 利用 伪 随 机 方法 来 得 出 一 个 全 球 独一无二 的 全 局 ID 就 如 RFC 4193 中 
推荐 的 计算 散 列 (也 称 哈 希 ，hash) 方法 9 如 下 : 

e 网 络 时 间 协 议 (Network Time Protocol, NTP) 服务 器 所 报告 的 64 位 NTP 
格式 的 当前 时 间 。 























加 回国 由 加 加 OL 

















名“ 一 个 散 列 是 将 散 列 化 的 数据 和 一 个 随机 值 通过 运行 数学 运算 而 产生 的 。 在 这 种 情况 下 需要 一 个 特 
定 的 数学 算法 、 安 全 散 列 算法 1 或 SHA -1。 
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© 级 联 完 成 此 算法 的 主机 接口 的 EUI-64 接口 ID。 

然后 散 列 操作 的 结果 的 最 低 有 效 位 (最 右边 ) 40 位 发 布 为 全 局 ID, 
2.3.3.4 fe80:: / 10 一 一 链 路 本 地 地 址 空间 

链 路 本 地 地 址 仅 用 于 一 个 特定 的 链接 ， 比 如 一 个 以 太 网 链接 ; 链 路 本 地 目 
标 地 址 的 数据 报 不 会 被 路 由 。 也 就 是 说 ， 具 有 链 路 本 地 地 址 的 数据 报 无 法 到 达 
相应 链接 之 外 的 链接 。 这 些 地 址 用 于 地 址 自动 配置 和 邻居 发 现 ， 稍 后 将 会 展开 
讨论 。 链 路 本 地 地 址 格式 如 图 2-7 所 示 。 


0 9 10 63 64 127 


0 
1111111010 
月) 


图 2-7 链 路 本 地 地 址 格式 "5 


链 路 本 地 前 缀 为 fe80:: /10， 紧 跟着 54 个 0 位 和 64 位 的 接口 ID。 
2.3.3.5 ft00: : /8 一 一 多 播 地 址 空间 

多 播 地 址 可 以 识别 在 不 同 节 点 上 一 组 接口 。 可 以 将 多 播 地 址 想象 成 是 一 个 
范围 内 的 广播 。 所 有 多 播 组 成 员 共 享 共同 的 组 ID， 因 此 所 有 成 员 会 接收 到 给 多 
播 组 发 送 的 相同 的 数据 报 。 一 个 接口 可 能 有 多 个 多 播 地 址 ; 也 就 是 说 ， 它 可 能 
属于 多 个 多 播 组 。 基 本 的 IPv6 多 播 地 址 格式 如 图 2-8 所 示 。 

0 78 1112 1516 127 


标志 “范围 
(4 位 ) (4 位 ) 














aafaa aaaf 
图 2-8 多 播 地 址 格式 5 


前 级 f00::: /8 标识 了 这 是 一 个 多 播 地 址 。 紧 接着 一 个 字段 是 一 个 4 位 的 
字段 称 为 “标志 ”。 多 播 地 址 的 格式 是 由 这 个 标志 字段 决定 的 。 范 围 字段 指示 了 
多 播 范围 的 广度 ， 是 否 每 个 节点 、 链 路 、 全 局 或 是 其 他 范围 值 ， 都 将 在 这 个 字 
段 定 义 。 幸 运 的 是 ， 标 志和 范围 字段 可 以 很 容易 通过 地 址 中 的 第 3 个 和 第 4 个 十 
六 进 制 数字 识别 出 ， 将 在 稍 后 总 结 。 

标志 标志 字段 是 由 4 位 组 成 ， 下 面 将 会 从 右 到 左 进 行 讨论 "” 。 

















eT 位 表示 由 IANA 分 配 的 多 播 地 址 是 瞬时 状态 或 是 永久 状态 。T 位 是 如 下 
这 样 定 义 的 : 

oT=0 时 一 一 表示 多 播 地 址 是 由 IANA 分 配 的 永久 分 配 (众所周知 ) 多 播 
地 址 。 在 这 种 情况 下 ， 接 下 来 的 112 位 多 播 地 址 是 112 位 的 组 ID 字段 CW 
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图 2-9) o 
0 78 1112 1516 127 
范围 组 ID 


标志 
11111111 T0) (D (112 fiz) 





图 2-9 标志 T=0 时 的 多 播 地 址 





IANA 到 目前 为 止 已 经 分 配 了 大 量 的 组 ID2。 例 如 , 组 ID =1 意味 着 相关 范 
围 内 的 所 有 节点 〈 由 范围 字段 定义 ) ID = 2 为 指定 范围 内 的 所 有 路 由 器 。 范 围 
字段 如 下 定义 ， 永 和 久 分 配 的 多 播 地 址 例子 为 

.fnl:: 1= 链 路 上 所 有 节点 

fn2:: 2 = 链 路 上 所 有 路 由 器 

.ff05:: 1= 站 点 上 所 有 节点 

ff05;: 2 = 站 点 上 所 有 路 由 器 

- ff0e:: 2 = 互联 网 上 所 有 路 由 器 

coT =1 一 一 这 个 多 播 地 址 是 一 个 暂时 的 多 播 地 址 。 这 可 以 分 配给 一 些 特殊 的 
多 播 会 话 或 是 应 用 程序 。Ffl12:: 3: f: 10 是 其 中 一 个 例子 。 

e。P 了 位 用 于 表示 多 播 地 址 是 否 基于 单 播 网 络 地 址 前 级 。P 位 的 定义 如 下 : 

oP =0 一 一 这 个 多 播 地 址 不 是 根据 网 络 前 绥 来 分 配 的 。 当 P =0 时 ， 这 个 多 
播报 文 的 格式 跟 上 面 描述 的 一 样 〈 当 T=0) 也 有 112 位 组 ID 字段 。 

o P = 1 一 一 这 个 多 播 地 址 是 根据 单 播 子 网 地 址 的 网 络 前 绥 分 配 的 。 单 播 子 网 
地 址 拥有 这 类 多 播 地 址 的 分 配 权 。 这 使 得 与 单 播 地 址 空间 相关 的 多 播 地 址 的 分 
配 管 理 更 加 简单。 如 果 P=1， 那么 T 位 也 必须 为 1。P =1 时 的 多 播 地 址 格式 如 
图 2-10 所 示 。 


0 78 1112 1516 23 24 3132 














标志 WH AE MARKE 网 络 前 缀 


95 96 127 





pa 


(P=1) CH) (0s) (84) (81%) (64 位 ) 


图 2-10 P=1 时 的 多 播 地 址 格式 1551 


4P=1, 范围 字段 紧 跟 着 8 个 0 位 (保留 ) ， 一 个 8 位 前 缀 长 度 字段 ， 一 个 
64 位 网 络 前 缀 字段 和 一 个 32 位 组 ID 字段 。 前 绥 长 度 字 段 代 表 对 应 单 播 网 络 地 址 的 
前 缀 长 度 。 网 络 前 缀 字段 包含 对 应 单 播 网 络 的 前 绥 ， 组 ID 则 是 相关 多 播 的 组 ID。 

例如 ， 如 果 2001: db8: b7:: /48 的 单 播 前 缀 被 分 配给 一 个 子 网 ， 那 么 对 
应 基于 单 播 的 多 播 地 址 将 会 为 ，ff3s: 0030; 2001: db8: b7:: g。 这 时 有 : 











”最 新 的 分 配 请 参考 http: //www. iana. org/assignments/ipv6- multicast- addresses, 
O 了 位 是 在 本 书 参考 文献 [20] RFC3306 中 定义 的 。 
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- 任 = 多 播 前 级 

.3= [0011],, 即 P=1, T=1 

* S= 有 效 的 范围 ， 将 会 在 下 一 节 讨论 

00 = 保留 位 

.30 = 十 六 进 制 表 示 的 前 级 长 度 = [0011 0000], = 十 进 制 数 48 ， 例 子 中 的 
前 缀 长 度 

- 2001: db8: b7: 0 =2001: 0db8: 00b7; 0000 为 在 64 位 的 网 络 前 级 字段 
的 48 位 网 络 前 级 

< g J32 位 的 组 ID 

当前 缀 长 度 字 段 = FF，s<2, JHA P=T=1 时 , 一 种 格式 的 特殊 情况 将 
会 发 生 。 在 这 种 情况 下 ， 并 不 是 由 单 播 网 络 地 址 组 成 网 络 前 级 字段， 这 个 字 
段 将 会 由 各 自 接口 的 接口 ID 组 成 。 接 口 ID 必须 经 过 重复 地 址 检测 ， 以 保证 其 
独一无二 ， 这 在 本 章 后 面 会 进行 讨论 。 在 这 种 特殊 情况 下 ， 范 围 字 段 必须 是 
0、1 或 2， 代表 着 本 地 接口 或 本 地 链 路 的 范围 。 链 路 范围 内 的 多 播 地 址 格式 
是 由 RFC 4489 ( 即 本 书 参考 文献 [21]) 规定 的 IPv6 地 址 结构 扩展 来 定 
义 的 。 

在 标志 字段 的 R 位 是 多 播 交 汇 点 ( Rendezous Point，RP)， 它 可 以 使 多 播 组 
潜在 的 订阅 者 优先 以 临时 方式 而 非 永久 加 入 该 组 。 如 果 R 位 设置 值 为 1， 那么 P 
位 和 了 位 也 必须 设置 成 1。 当 R =1， 多 播 地 址 是 基于 单 播 前 缀 的， 但 是 RP 接口 
ID 也 是 特定 的 。 这 种 当 R =1 时 的 多 播 地 址 格式 ， 大 致 等 同 于 R=0 和 P=1, 不 
同 之 处 在 于 保留 字段 被 分 成 一 个 4 位 的 保留 字段 交汇 点 接口 ID (Rendezous Point 
Interface ID, RID) 字段 ( 见 图 2-11)。 

0 78 1112 1516 1920 2324 31 32 95 96 127 
io RVI Rip MAKE pase at | 

















4 0) Ph a 


(R=1) (4h) (4 位 ) 4 位 ) 四 (8 位 ) (64 位 ) 





图 2-11 R=1 时 的 多 播 地 址 














e RP 的 IP 地 址 通过 串联 RID 字段 的 值 与 相应 的 网 络 地 址 前 级 确定 。 例 如 ， 
如 果 一 个 RP 在 [ 单 播 ] 网 络 时 是 2001: db8: b7:: 6， 那 么 关联 的 多 播 地 址 会 
为 ff7s: 0630: 2001: db8: b7: g。 其 中 ，s 为 一 个 有 效 范 围 内 定义 ，g 为 32 位 
的 组 ID。 

该 地 址 的 明确 细 分 如 下 : 

- ff = SHA 

- 7=[0111],, 即 R=1, P=1, T=1 

 s= 一 个 合法 的 范围 

0 = 预 留 位 
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- 6=RIID 字段 ， 要 被 追加 到 网 络 前 级 字段 之 后 

.30 = 十 六 进 制 表示 的 前 绎 长度 = [00110000], = 十 进 制 下 48， 实 例 中 的 
前 缀 长 度 

- 2001; db8: b7; 0=2001; 0db8: 00b7; 0000 W 64 位 网 络 前 级 字段 中 的 
48 位 网 络 前 绥 

> g Wy 32 位 的 组 ID 

”第 一 个 标志 位 是 保留 位 并 设 为 0。 
2.3.3.6 多 播 标志 总 结 
谁 想到 多 播 寻 址 位 这 么 复杂 ? 但 通常 情况 下 ， 复 杂 性 带 来 了 灵活 性 ! 总 的 
来 说 ， 按 照 目前 的 定义 ， 以 上 位 规定 的 最 终结 果 产 生 以 下 有 效 标志 字段 的 值 。 
在 标志 字段 之 后 紧 跟 着 8 个 “1” 位 ,这 8 个 紧 跟着 4 位 标志 字段 的 位 为 “有 效 
前 级”( 见 表 2-3)。 































































































标识 (二进制) 有 效 前 级 说 明 
0000 fto0:: /12 永久 分 配 4 比特 域 范围 内 的 112 位 组 ID 
0001 ffl0:: /12 暂时 分 配 4 比特 域 范围 内 的 112 位 组 ID 
0011 f30;; /12 临时 分 配 基于 多 播 地 址 的 单 播 前 绥 
0111 f70:: /12 临时 分 配 基于 多 播 地 址 的 拥有 接口 交汇 点 接口 ID 的 单 播 前 级 
其 他 一 未 定义 

















范围 很 自然 的 ， 范围 字段 定义 了 多 播 地 址 的 范围 或 者 说 定义 了 多 播 地 址 
所 能 通信 到 的 地 方 。 这 被 多 播 路 径 上 的 路 由 器 用 来 判定 多 播 能 否 到 达 对 应 的 范 
围 。 请 注意 ， 范 围 以 外 的 其 他 本 地 接口 、 本 地 链 路 和 全 局 地 址 必须 在 路 由 器 定 
义 好 范围 ， 从 而 形成 通信 可 达 性 的 约束 。 
2.3.3.7 特殊 的 多 播 地址 

请 求 节 点 多 播 地 址 ”多 播 地 址 的 一 种 ， 每 个 节点 都 必须 支持 一 种 形式 的 请 
求 节点 多 播 地 址 。 这 个 地 址 是 用 来 检测 重复 的 地 址 ， 并 作为 邻居 发 现 协议 (4B 
居 请 求 信息 ) 的 一 部 分 ， 用 以 修复 给 定 主机 的 链 路 层 地 址 。 请 求 节点 多 播 地 址 
是 在 众所周知 的 前 缀 fn2:: 1:: 100: 0/104 (多 播 范 围 = 链 路 ) 后 面 加 上 请 求 
节点 接口 ID 的 低位 (最 右边 ) 24 位 组 成 。 

例如 ， 假 设 一 个 节点 希望 解决 设备 (接口 ) 的 链 路 层 地 址 ， 它 使 用 的 IP H 
址 为 2001: db8: 4e: 2a; 3001; fa81: 95d0: 2cdl。 使 用 低 24 位 、 十 六 进 制 的 
d02cdl ， 该 设备 会 将 请 求 发 送 到 fp2:: 1: ftd0: 2cdl ( 见 图 2-12) 。 
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图 2-12 PR RA HOHE AE 


2.3.4 IPv6 的 因特网 控制 报 文 协议 


ICMP 是 IPv4 的 一 部 分 ， 它 用 作 回 送 网 络 错误 、 诊 断 、 资 源 状态 给 IP 节点 。 
ICMPv6 是 IPv6 相关 的 协议 ， 它 提供 了 相似 的 功能 ， 但 它 也 对 IPv6 中 的 核心 特 
性 ， 如 邻 节 点 发 现 、 移 动 Pv6 和 多 播 路 由 发 现 ， 提 供 了 便利 。 就 如 下 面 将 讨论 
的 ， 邻 节点 发 现 是 一 个 完整 的 IPv6 功能 ， 支 持 路 由 器 发 现 、 第 2 层 地 址 发 现 、 
地 址 自动 配置 、 重 复 地 址 检测 和 邻居 不 可 达 检 测 。 因 此 ，ICMPv6 是 IPv6 不 可 分 
市 的 组 成 部 分 ， 虽然 消息 被 编码 为 上 层 协议 ,但 是 ICMPv6 被 分 配给 一 个 IPv6 报 
头 “ 下 一 个 报头 ”， 其 代码 为 58 。ICMPv6 结构 格式 如 图 2-13 所 示 。 





0 位 7 8 15 16 31 














图 2-13 ICMPv6 结构 格式 





表 2-4 给 出 了 多 播 范 围 字 段 说 明 ， 表 2-5 给 出 了 ICMPv6 类 型 和 代码 
值 31。 类 型 值 1 ~4 代表 错误 信息 ，128 ~ 255 是 用 作 表 示人 信息 和 诊断 信息 
( 见 表 2-5)。 


表 2-4 多 播 范 围 字 段 说 明 









































范围 字段 
范 fl fi 述 
二 进 制 十 六 进 制 
0000 0 保留 保留 
0001 1 本 地 接口 节点 上 只 用 于 回环 传输 的 接口 
0010 2 本 地 连接 只 有 在 多 播报 文 传输 时 连接 
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( 续 ) 
范围 字段 
二 进 制 十 六 进 制 ie “= 
0011 3 保留 保留 的 
最 小 范围 的 管理 配置 。 这 不 是 基于 物理 

a i 丰 地 管理 | 连接 或 其 他 多 播 相关 配置 

0101 5 本 地 站 点 限于 由 管理 者 定义 的 站 点 
0100、 0111 6.7 未 分 配 N/A 

ibò 3 hAg F aa 
1001 ~ 1101 9~D 未 分 配 N/A 

1110 E 全 局 范围 无 限制 

1111 F FA 保留 的 














表 2-5 ICMPv6 类 型 和 代码 值 

















































































































类 型 Ro 码 
值 ae X 值 Z A 
0 保留 的 
0 没有 到 目标 地 址 的 路 由 
1 管理 策略 禁止 与 目标 地 址 通信 
2 超出 源 地 址 的 范围 
3 地 址 不 可 达 
1 目标 地 址 不 可 达 端口 不 可 达 
5 源 地 址 失败 的 入 口 / 出 口 策略 
6 拒绝 路 由 到 目的 地 址 
7 源 路 由 头 错误 
2 报 过 大 0 
0 传输 中 超过 跳 数 限制 
mae 分 片 重组 超时 
0 遇 到 了 错误 的 报头 字段 
4 参数 问题 1 遇 到 了 不 能 识别 的 下 一 个 报头 类 型 
2 遇 到 了 不 能 识别 的 IPv6 选项 
5 ~99 未 分 配 
100, 101 私有 实验 
102 ~ 126 未 分 配 
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( 续 ) 
类 型 代 码 
值 ae AX 值 含 义 
127 保留 给 ICMPv6 错误 消息 扩展 
128 回 送 请 求 0 
129 回 送 应 答 0 
130 多 播 监听 查询 0 
131 多 播 监听 报告 0 
132 多 播 监 听 完 成 0 
133 路 由 器 请 求 0 
134 路 由 器 通告 0 
135 邻 节 点 请 求 0 
136 邻 节 点 通告 0 
137 重 定向 信息 0 
0 路 由 器 重 编号 指令 
138 路 由 器 重 编号 1 路 由 器 重 编号 结果 
255 序列 编号 重 置 
0 数据 字段 包含 IPv6 地 址 
数据 字段 包含 一 个 名 称 或 者 是 空 的 
139 ICMP 节点 信息 查询 (No-Op) 
2 数据 字段 包含 IPv4 地 址 
成 功 回复 一 数据 字段 可 能 为 空 ， 
也 可 能 不 为 空 
140 ICMP 节点 信息 响应 1 响应 者 拒绝 回复 一 一 数据 字段 为 空 
‘ 查询 的 类 型 对 于 响应 者 是 未 知 
的 一 一 数据 字段 为 空 
141 逆向 邻 节点 发 现 请 求 消息 0 
142 逆向 邻 节点 发 现 通告 消息 0 
143 第 2 版 多 播 监听 报告 0 
144 本 地 代理 地 址 发 现 请 求 消息 0 
145 本 地 代理 地 址 发 现 应答 消 息 0 
146 移动 前 级 请 求 0 
147 移动 前 级 通告 0 
148 认证 路 径 请 求 消息 
149 认证 路 径 通 告 消 息 
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( 续 ) 
类 型 RO m 
值 含 义 值 ae A 
150 实验 移动 协议 所 用 的 ICMP 消息 
151 多 播 路 由 器 通告 
152 多 播 路 由 器 请 求 
153 多 播 路 由 器 中 止 
0, 1 保留 的 
154 FMIpv6 消息 (快速 移动 IPv6 切换 ) 人 
3 代理 路 由 器 通告 (PrRtAdv) 
4,5 弃 用 和 不 可 用 
io RPL 控制 消息 〈 暂 时 分 配给 “ 低 功 
率 和 损耗 网 络 的 路 由 协议 ) 
156 ~ 199 未 分 配 
200 ~ 201 私有 实验 
255 为 ICMPv6 通知 消息 扩展 保留 


下 面 还 要 仔细 介绍 IPv6 某 些 与 ICMPv6 相关 的 特性 。 
2.3.5 IPv6 Ping 命令 


就 像 在 IPv4 中 用 的 “ping” 命 令 一 样 ，IPv6 支持 类 似 的 功能 。 相 对 于 
“ping”， 通 常 在 命令 行 中 运行 “ping6”。 此 功能 利用 ICMPv6 类 型 128 作为 ping6 
命令 的 接口 ， 或 称 为 “ 回 送 请 求 "， 而 ICMPv6 类 型 129 则 作为 “ 回 送 应 答 ” 


本 
=a 


2.3.6 多 播 侦 听 发 现 


多 播 侦 听 发 现 (Multicast Listener Discovery, MLD) 功能 使 得 路 由 器 可 以 找 
到 直 连 链 路 上 存在 的 多 播 侦 听 器 ， 也 就 是 被 配置 了 要 侦 听 多 播 地 址 的 节点 及 相 
应 的 多 播 地 址 。 多 播 主机 和 地 址 的 确定 ， 可 以 使 路 由 器 去 路 由 和 发 送 相应 的 多 
播 IPv6 数据 报 。 当 在 给 定 链 路 上 发 送 MLD 查询 时 ， 路 由 器 使 用 本 地 链 路 ITPv6 
地 址 作为 其 源 IPv6 地 址 。MLD 的 第 1 个 版 本 ， 即 MLDv1， 是 RFC 2710 ( 即 本 书 
参考 文献 [24]) 定义 的 。 第 2 个 版 本 ，MLDv255 与 MLDvl 是 可 兼容 的 ， 它 增 
加 了 源 过 滤器 。 也 就 是 说 ， 它 允许 一 个 多 播 侦 听 器 只 接收 从 特定 的 源 地 址 中 发 
出 的 多 播 数据 报 。 下 面 给 出 4 个 MLD 信息 类 型 定义 ， 每 一 个 都 有 对 应 的 ICMPv6 
类 型 值 ; 





二 一 
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e 多 播 侦 听 查询 ( 类 型 值 为 130) 一 一 允许 路 由 器 去 查找 侦 听 器 。 

o 一 般 查 询 一 一 用 于 路 由 器 去 了 解 哪 一 个 多 播 地 址 拥有 侦 听 器 。 

o 特定 多 播 地 址 查询 一 一 用 于 确定 一 个 多 播 地 址 是 否 拥有 侦 听 器 。 

o 多 播 地 址 和 特定 源 查 询 一 一 只 在 MLDv2 可 用 ,确定 一 个 给 定 源 的 特定 多 
播 地 址 是 否 拥有 侦 听 器 。 

e 多 播 侦 听 报 告 (类 型 值 为 131 ) 可 以 使 一 个 多 播 侦 听 器 回复 路 由 查 
询 ， 以 表明 它 希望 接收 这 样 寻 址 的 多 播 地 址 数据 报 。 

e 多 播 侦 听 完 成 (类 型 值 为 132) 一 一 人 允许 一 个 多 播 侦 听 器 去 声明 它 已 经 完 
成 对 给 定 多 播 地 址 传输 的 侦 听 。 这 个 信息 会 被 发 送 到 链 路 范围 内 的 所 有 路 由 器 
中 的 多 播 地 址 ，ff02.; :2。 

e MLDv2 多 播 侦 听 报告 (类 型 值 为 143) 一 一 由 MLDv2 主机 通知 连接 到 链 
路 上 的 路 由 器 它 的 多 播 侦 听 状态 ， 如 它 是 否 正在 侦 听 某 个 地 址 。 


2.3.7 多 播 路 由 发 现 


多 播 路 由 发 现 (Multicast Router Discovery, MRD) 过 程 被 定义 来 识别 多 播 路 
由 中 涉及 的 路 由 器 ， 以 及 允许 交换 机 确定 哪些 交换 端口 应 该 在 多 播 通信 中 被 桥 
接 。 因 此 ，MRD 报 文 目的 是 将 本 地 链 路 的 跳 数 限制 为 “1”。MRD 为 IPv6 提供 
了 三 种 ICMPv6 消息 类 型 . 

o 多 播 路 由 器 通告 (ICMPv6 类 型 值 为 151) 一 一 路 由 器 周期 性 通告 或 回复 
这 个 信息 给 所 有 的 侦 听 者 多 播 地 址 (102:: 6a) ， 通 告 其 参与 多 播 转 发 。 

。 多 播 路 由 器 请 求 (ICMPv6 类 型 值 为 152 ) 可 以 使 节点 去 请 求 多 播 路 
由 融 发 送 多 播 路 由 器 通告 。 

o 多 播 路 由 带 终 止 (ICMPv6 类 型 值 为 153) 一 一 由 路 由 带 发 送 来 表明 不 再 
参与 多 播 信息 转发 了 。 

3.8 邻 节 点 发 现 协 议 
邻 节点 发 现 协议 (Neighbor Discovery Protocol, NDP) 在 IPv6 中 提供 了 相当 
重要 的 网 络 操作 功能 。 

© NDP 允许 一 个 节点 去 发 现 链 路 上 的 路 由 器 和 链 路 上 的 IPv6 前 缀 配置 。 

e NDP 提供 了 重 定向 功能 去 指示 一 个 节点 到 一 个 更 好 的 首 跳 路 由 需 (或 本 
地 连接 的 主机 ) 。 

e 无 状态 地 址 自动 配置 (Stateless Address Autoconfiguration, SLAAC) 利用 
NDP 给 IPv6 主机 地 址 进行 自动 匹配 。 

e 重复 地 址 检测 (Duplicate Address Detection, DAD) 允许 节点 判断 自己 准 
备 使 用 的 地 址 是 否 已 被 子 网 的 其 他 节点 使 用 。 
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e 一 个 使 用 NDP 的 节点 进行 地 址 解析 ， 找 出 子 网 的 其 他 IPv6 节点 ， 并 确定 


它们 的 链 路 层 地 址 。 
© NDP 支持 节点 不 可 达 检 测 ， 适 用 于 邻居 节点 的 不 可 达 检 测 ， 也 就 是 在 同 
一 链 路 上 的 不 可 达 节 点 。 


路 由 需 发 现 使 得 IPv6 节点 能 够 自动 识别 子 网 上 的 路 由 器 ， 使 其 不 需要 手动 
配置 设备 的 IP 配置 内 的 默认 网 关 。 路 由 器 发 现 使 得 一 个 设备 可 以 识别 分 配给 链 
路 的 网 络 前 缀 和 对 应 的 前 级 长 度 ， 当 然 也 包括 其 他 参数 ， 如 可 用 的 地 址 分 配 和 
域名 服务 。 对 于 地 址 自动 配置 ， 这 个 信息 是 必 不 可 少 的 。 

路 由 需 发 现 过 程 需 要 每 个 路 由 器 周期 性 地 发 送 通告 给 每 个 配置 子 网 以 显示 ， 
它 的 下地 址 ， 它 能 够 提供 的 默认 网 关 功 能 ， 它 的 链 路 层 地 址 ， 链 路 上 的 网 络 前 
级 (包括 对 应 的 前 级 长 度 和 可 用 地 址 生命 周期 )， 以 及 其 他 的 配置 参数 。 

路 由 咒 通 告 还 能 指出 DHCPv6 服务 器 是 否 可 用 于 地 址 分 配 或 其 他 配置 。 路 由 
器 通告 中 的 M 位 (管理 地 址 配置 标志 ) 表明 DHCPv6 服务 是 可 用 于 地 址 和 配置 
的 设置 的 。0 位 (其 他 配置 标志 ) 则 表明 通过 DHCPv6 获取 IP 地 址 以 外 的 其 他 
配置 参数 ， 如 可 能 会 包含 链 路 上 的 设备 可 以 查询 哪些 NTP 服务 器 。 关 于 M 和 0 
位 的 解释 见 表 2-6。 


























表 2-6 路 由 器 通告 中 的 M 和 OO 位 


















































bea 0 位 =0 0 位 =1 
DHCPv6 服务 仅 可 用 作 配 置信 息 ， 不 包 
M =0 没有 DHCPv6 
没有 服务 可 用 含 地 十 分 本 
M=1 DHCPv6 服务 可 用 于 地 址 分 配 和 配置 信息 DHCPv6 服务 可 用 于 地 址 分 配 和 配置 信息 

















节点 也 可 以 通过 使 用 路 由 器 请 求 信 息 来 请 求 路 由 器 通告 ， 只 要 发 给 本 地 链 
路 路 由 器 多 播 地 址 (ff02:: 2) 即 可 。ICMPv6 每 个 邻 节 点 发 现 信 息 的 类 型 代码 
总 结 如 下 : 

e 路 由 器 请 求 (ICMPv6 类 型 值 为 133) 一 一 允许 一 个 主机 立即 请 求 路 由 器 
产生 路 由 通告 。 

o 路 由 需 通 告 (ICMPv6 类 型 值 为 134) 一 一 路 由 需 用 这 个 信息 类 型 去 定期 
地 通告 它们 的 存在 和 可 用 的 前 级 信息 或 是 响应 路 由 器 请 求 信 息 。 

e 邻 节点 请 求 (ICMPv6 类 型 值 为 135) 可 以 使 一 个 主机 去 确定 一 个 链 
路 上 的 邻 节点 的 链 路 层 地 址 ， 并 且 进 行 重复 地 址 检测 。 

e 邻 节 点 通告 (ICMPv6 类 型 值 为 136) 一 一 由 主机 发 送 用 于 响应 邻 节点 请 
求 或 链 路 层 地 址 变化 。 

e 重 定向 (ICMPv6 类 型 值 为 137) 一 一 由 路 由 器 发 送 去 通知 链 路 主机 一 个 
给 定 目标 地 址 的 更 好 的 首 跳 方 式 。 更 好 的 首 跳 ， 可 能 是 另 一 个 路 由 器 或 者 是 另 
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一 台 链 路 上 的 主机 ， 如 它 的 地 址 有 同样 的 前 级 没有 在 链 路 上 通告 。 
2.3.9 安全 邻 节 点 发 现 


安全 邻 节 点 发 现 (Secure Neighbor Discovery, SEND) 协议 在 邻 节点 发 现 信 
息 中 添加 了 数字 签名 ， 以 此 减少 算 改 响应 的 风险 ， 特 别 是 在 Ad Hoc 网 络 上 。 使 
用 SEND 的 主机 必须 配置 信任 锚 和 一 对 公 钥 私 钥 ， 这 可 以 使 主机 保证 是 它 网 络 上 
的 路 由 器 。 节 点 使 用 SEND 将 加 密生 成 地 址 (Cryptographically Generated 
Address, CGA) 附加 为 NDP 消息 中 的 选项 。CGA 是 由 主机 的 公 钥 和 私 钥 推导 而 
出 的 。 一 个 64 位 散 列 值 的 公 钥 (还 有 一 些 辅助 的 参数 ) 和 一 个 64 位 的 子 网 前 
缀 被 用 于 生成 CGA。 那 对 应 的 私 钥 也 可 以 被 用 作 NDP 消息 的 签名 ， 并 且 对 应 
的 数字 签名 已 经 在 RSA 签名 NDP 消息 中 被 添加 。 虽 然 攻击 者 可 以 用 自己 推导 
的 一 对 公 钥 、 私 钥 来 生成 一 个 SEND 信息， 但 是 它 不 能 模拟 自己 是 子 网 中 的 某 
个 节点 。 
通过 路 由 器 证 书 上 的 公共 密 钥 与 主机 上 配置 的 公共 密 钥 对 比 ， 路 由 器 的 身 
份 被 进一步 验证 (信任 锚 )。 以 下 两 个 额外 的 ICMPv6 消息 类 型 就 是 为 此 设 定 的 : 

© 认证 路 径 请 求 (ICMPv6 类 型 值 为 148) 一 一 主机 发 送 这 条 消息 给 路 由 ， 
请 求 获 得 主机 配置 的 信任 锚 中 的 认证 路 径 。 

o 认证 路 径 通 告 (ICMPv6 类 型 值 为 149) 一 一 路 由 器 发 送 这 条 消息 作为 认证 
路 径 请 求 的 响应 ， 提 供 路 由 器 的 认证 和 /或 DNS 的 完全 合格 域名 (Full Qualified 
Domain Name, FQDN) 或 者 X. 501 名 形式 的 信任 锚 。 


2.3.10 逆向 邻 节点 发 现 


逆向 邻 节 点 发 现 (Inverse Neighbor Discovery, IND) 定义 了 解决 IPv6 地 址 与 
一 个 已 知 链 路 层 地 址 关联 的 过 程 。 与 “逆向 地 址 解析 协议 (Address Resolution 
Protocol，ARP) ”的 概念 相似 ，IND 人 允许 第 二 层 网 络 解析 第 三 层 信 息 ， 如 帧 中 继 
网 络 。IND 也 是 通过 ICMPv6 实现 的 : 

© IND 请 求 (ICMPv6 类 型 值 为 141 ) 一 一 请 求 提 供 的 目标 链 路 层 地 址 所 对 
应 的 IPv6 地 址 。 

e IND 通告 (ICMPv6 类 型 值 为 142 ) 
地 址 确定 的 一 个 或 多 个 IPv6 地 址 。 


2.311 路 由 器 重 编号 


路 由 器 重 编号 概念 的 提出 ， 旨 在 使 重 编号 网 络 像 单 独 的 主机 地 址 自动 配置 
一 样 简 单 和 自动 地 进行 。 路 由 重 编号 在 RFC 2894 ( 即 本 书 参 考 文献 [26]) 中 
进行 了 定义 ， 它 使 用 了 ICMPv6 消息 (ICMPv6 类 型 值 为 138) 的 “前 级 控制 操 









































响应 IND 请 求 ， 返 回 目标 链 路 层 
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作 ” 去 通知 一 个 路 由 器 〈 当 以 多 播 方式 发 送 时 ， 可 以 是 多 个 路 由 器 ) 去 增加 
IPv6 前 组 或 者 删除 改变 一 个 已 被 配置 的 前 缀 。 前 组 信息 包括 前 缀 地 址 、 长 度 ， 
以 及 与 地 址 相关 的 生命 周期 值 和 标志 。 鉴 于 远程 网 络 重 编号 的 关键 性 ， 路 由 吕 
要 求 采 用 安全 策略 来 进行 路 由 器 重 编号 信息 ， 去 证 明 发 送 者 是 经 过 认证 的 , 来 
检查 信息 的 完整 性 。 消 息 队 列 编号 也 用 于 防止 重复 攻击 。 


2.3.12 节点 信息 查询 


节点 信息 查询 消息 允许 从 IPv6 主机 中 请 求 主机 名 、IPv6 和 IPv4 地 址 信息 。 
如 果 你 觉得 这 听 起 来 跟 DNS 提供 的 服务 有 点 像 ， 那 么 你 对 了 。 人 然而， 根据 RFC 
4620 ( 即 本 书 参 考 文献 [27] ) ， 这 种 模式 的 解决 方案 是 “目前 仅 限 于 诊断 工 
具 、 调 试 工具 和 网 络 管理 ”的 。 与 查询 DNS 消息 不 同 的 是 ,查询 是 指 被 发 送 到 
节点 的 信息 查询 地 址 。 

节点 信息 查询 ， 是 使 用 ICMPv6 发 送 并 被 赋予 一 个 正常 的 IPv6 目标 地 址 ， 或 
是 使 用 节点 信息 查询 多 播 地 址 。 用 这 种 链 路 范围 多 播 地 址 格式 使 得 一 个 IPv6 地 
址 只 根据 接收 者 的 主机 名 组 成 ; 如 果 IPv6 地 址 已 经 被 知道 并 且 主 机 名 信息 被 请 
求 ， 那 么 IPv6 地 址 可 能 会 被 用 于 目标 地 址 。 当 IP 地 址 信息 被 一 个 已 知 主机 名 请 
求 时 ， 对 主机 名 做 128 位 MD-5 算法 散 列 运算 ,结果 的 头 24 位 被 加 到 tn2:: 2; 
f0: 0/104 的 前 级 。 每 个 节点 接收 到 给 这 个 节点 信息 查询 地 址 的 消息 ， 并 将 其 
地 址 的 最 后 24 位 与 自己 主机 名 散 列 值 的 头 24 位 比较 ; 如 果 匹 配 ， 那 么 接收 者 会 
回复 请 求 信息 。 

节点 信息 查询 消息 如 下 : 

e 节点 信息 查询 (ICMPv6 类 型 值 为 139) 一 一 允许 一 个 节点 提供 IPv6 地 址 、 
IPv4 地 址 或 主机 名 ， 来 查询 关于 男 一 个 节点 的 信息 。 

e 节点 信息 响应 (ICMPv6 类 型 值 为 140) 一 一 允许 一 个 节点 响应 请 求 信 息 
或 拒绝 请 求 ( 见 图 2-14) 














1100001001101110110110011111110 TRS 


11111111 00000010B O0000010 11111111 110000100110111011011001 
f f 0 2 ox 0 2 t -f c 2 6 e d 9 


Al2-14 请 求 节点 信息 查询 地 址 
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2.4 IPv6 地 址 自动 配置 








IPv6 宣扬 的 主要 好 处 之 一 ， 是 其 使 设备 能 够 自动 配置 它们 自己 的 IPv6 地 址 ， 
这 些 地 址 是 独一无二 且 与 它 现在 正在 相连 的 子 网 相关 2。 这 种 行为 是 受 在 本 书 
NDP 部 分 讨论 的 路 由 需 通 告 管 理 位 (M) 和 其 他 位 (0) 来 进行 管理 的 。 现 在 
有 三 种 基本 形式 的 IPv6 地 址 自动 配置 ; 

无 状态 。 这 个 形式 是 “无 状态 ”的 ， 因 为 它 是 不 依赖 状态 或 外 部 分 配 机 制 
的 ， 如 IPv6 动态 主机 配置 协议 (DHCPv6 ) 。 设 备 试图 在 免除 外 界 和 用 户 的 干扰 
下 去 配置 它 自己 的 IPv6 地 址 。 

有 状态 。 有 状态 的 形式 只 依赖 一 个 外 部 地 址 分 配 机 制 ， 如 DHCPv6。 
DHCPv6 服务 器 分 配 128 位 IPv6 地 址 的 方式 类 似 DHCP 对 IPv4 的 操作 。 

有 状态 与 无 状态 组 合 。 这 一 过 程 包括 无 状态 地 址 自动 配置 与 有 状态 配置 涉 
及 的 附加 卫 参 数 的 组 合 。 这 通常 需要 先 使 用 无 状态 方法 ， 然 后 利用 DHCPv6 获 
取 额 外 的 参数 或 选项 ， 如 网 络 时 间 协 议 服务 器 去 查询 在 给 定 网 络 上 的 时 间 。 

在 最 基本 的 层面 ，IPv6 地 址 的 无 状态 自动 配置 包括 串联 设备 连接 到 网 络 的 
地 址 (你 在 哪里 ) 和 设备 的 接口 ID (你 是 谁 ) 。 那 么 ， 首 先 考 虑 设备 如 何 确定 
连接 到 的 是 哪 一 个 网 络 地 址 。 


2.4.1 改进 的 EUI-64 接口 标识 符 


一 旦 一 个 节点 识别 它 所 连接 的 子 网 ， 它 可 能 通过 自己 的 接口 D 来 完成 地 址 
自动 配置 。 根 据 IPv6 寻 址 体系 结构 规定 ， 所 有 单 播 IPv6 地 址 ， 除 了 以 二 进 制 
[000], 开头 的 ， 必 须根 据 64 位 接口 ID 由 改进 的 EUI-64 算法 推导 生成 。“ 未 改 
进 的 ”EUI- 64 算法 要 求 弟 联 24 位 由 IEEE 发 布 给 每 个 网 络 接口 的 硬件 制造 商 的 
组 织 唯一 标识 符 (Organizational Unique Identifier, OUI) (如 最 初 的 24 位 以 太 网 
地 址 ) 和 40 位 扩展 标识 符 。 对 于 48 位 的 以 太 网 地 址 来 说 ， 紧 跟 在 以 太 网 地 址 
中 公司 标识 符 部 分 ( 头 24 位 ) 的 是 16 位 的 EUI 标签 ， 它 被 定义 为 十 六 进 制 的 
fffe ， 接 着 是 24 位 的 扩展 标识 符 ， 这 是 以 太 网 地 址 余下 的 24 位 。 

EUI-64 算法 的 修改 要 求 创建 一 个 改进 的 EUI-64 标识 符 ， 它 要 求 倒置 公司 标 
识 符 字 段 中 的 “u” 位 (全 局 /本 地 位 )。“u” 位 是 公司 标识 符 字段 中 第 7 高 位 。 
在 以 太 网 MAC 地 址 中 ， 当 u=1，MAC 地 址 是 本 地 管理 的 地 址 ， 也 就 是 由 网 络 
管理 员 分 配 的 地 址 ; 当 u =0，MAC 地 址 就 是 一 个 统一 管理 的 地 址 ， 也 就 是 由 























OQ 注意 一 些 IPv4 的 协议 栈 ， 如 Microsoft Windows 2000 和 XP, FA IPv4 的 本 地 链 路 地 址 空间 
169. 254. 0. 0/16 完成 地 址 的 自动 配置 。 
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NIC 制造 商 从 IEEE 中 分 配 的 。 倒 置 “u” 位 的 目的 :5 是 使 它 更 容易 让 网 络 管理 
员 手 动 配置 接口 ID， 使 其 增 量 计数 ， 如 用 :: 1、:: 2、:: 3， 等 来 代替 :: 200: 
0: 0: 1、:: 200: 0: 0: 2、:: 200: 0: 0: 3 等 。 这 些 地 址 是 被 要 求 用 来 表明 该 
地 址 是 本 地 管理 的 (u =1)。 因 此 ， 该 算法 对 于 一 个 48 位 的 MAC 地 址 的 处 理 是 
倒置 “u” 位， 并 且 在 公司 标识 符 和 接口 标识 符 之 间 插 入 十 六 进 制 数 的 fe。 这 
一 点 在 下 面 的 例子 中 说 明 ， 使 用 MAC 地 址 AC-62-E8-49-5F-62， 由 此 产生 的 接 
O ID 是 ae62 : e8ff: fe49: 5162 ( 见 图 2-15)。 


101011000110001011101000 010010010101111101100010| 





101011100110001011101000010010010101111101100010 


LOLO1110 0110001011101000 1111111111111110 01001001 01011111 01100010 





图 2-15 修改 EUL64 接口 ID fe 


对 于 非 以 太 网 MAC 地 址 ， 该 算法 要 求 是 的 链 路 层 地 址 作为 接口 D, MEF 
始 用 0 填充 。 对 于 没有 链 路 层 可 用 的 情况 ， 如 在 一 个 拨号 链 路 、 一 个 唯一 标识 
符 使 用 另 一 种 接口 地 址 的 、 一 个 序列 号 或 者 其 他 设备 独 有 的 标识 符 ， 也 是 推 
荐 的 。 

然而 改进 的 EUI- 64 算法 简化 了 自动 配置 的 过 程 ， 它 也 创建 一 个 静态 的 具有 
“跟踪 ”设备 的 能 力 的 接口 D。 它 可 以 简单 地 识别 一 个 已 知 的 MAC 地 址 的 设备 。 
RFC 4741 ( 即 本 书 参 考 文献 [29]) 定义 了 如 何 进行 私有 扩展 来 进行 随机 接口 
ID 的 推导 和 变换 来 解决 相关 问题 。 

接口 ID 可 能 不 是 唯一 的 ， 特 别 是 并 非 由 唯一 的 48 位 MAC 地 址 推导 出 的 接 
口 ID 。 因 此 设备 在 确认 使 用 新 地 址 前 ， 必 须 执 行 DAD。 完 成 DAD 的 过 程 之 前 ， 
设备 地 址 会 被 认为 是 暂时 的 。 


2.4.2 重复 地 址 检测 


DAD 使 用 NDP， 它 需要 设备 发 送 一 个 IPv6 邻 节 点 请 求 数据 报 去 它 刚 刚 推导 
出 的 IPv6 地 址 (或 者 从 DHCPv6 获得 的 ) 来 确认 此 IP 地 址 是 已 经 被 占用 。 在 短 
暂 的 延迟 后 ， 设 备 也 发 送 一 个 邻 节点 请 求 数 据 报到 与 请 求 地 址 相对 应 的 多 播 
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地 址 。 

如 果 另 一 个 设备 已 经 使 用 了 此 IP 地 址 ， 它 会 响应 一 个 邻 节 点 通告 数据 报 ， 
其 自动 配置 过 程 会 停止 。 也 就 是 说 ， 需 要 手动 介入 ， 使 用 可 选 的 接口 ID 对 设备 
进行 配置 。 如 果 邻 节点 通告 数据 报 没有 被 接收 ， 那 么 此 设备 可 以 假设 这 个 地 址 
是 唯一 的 ， 并 把 它 配置 到 相应 的 接口 上 。 参 与 邻 节 点 请 求 和 通告 的 过 程 ， 不 仅 
对 地 址 自动 配置 有 用 ， 也 对 静态 配置 的 地 址 和 从 DHCPv6 获取 的 地 址 有 用 。 
有 效 的 IPv6 地 址 是 有 生命 周期 的 。 在 一 些 情 况 下 ， 生 命 周 期 是 无 穷 的 ， 但 
是 地 址 生命 周期 的 概念 适用 于 DHCPv6 租赁 地 址 和 自动 配置 地 址 。 这 在 简化 网 络 
重 编号 的 过 程 中 十 分 重要 。 路 由 器 被 配置 一 个 具有 恰当 和 有 效 的 生命 周期 的 网 
络 地 址 前 缀 ， 这 一 前 缀 也 会 在 每 一 个 路 由 器 通告 消息 中 进行 发 布 。 成 功 通过 
DAD 过 程 证 明 唯 一 的 IP 地 址 可 以 分 为 首选 或 弃 用 。 在 这 两 种 状态 下 ， 地 址 都 是 
有 效 的 ， 但 是 这 种 分 化 为 上 层 协 议 (如 TCP, UDP) 提供 了 一 种 方法 去 选择 一 
个 PP 地址 ， 并 且 可 能 在 后 续 的 会 话 中 也 不 会 改变 〈 见 图 2-16) 。 


初始 化 和 定义 接口 ID 或 者 
发 布 DHCPv6 请 求 通过 重复 地 址 检测 
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路 由 器 通告 
DHCPv6 地 址 分 配 


图 2-16 IPv6 地 址 生命 周期 ( 源 于 本 书 参考 文献 5 ) 


设备 通过 发 送 路 由 融通 告 消息 来 刷新 选 定 有 效 时 间 值 。 当 一 个 地 址 前 级 的 
选 定 时 间 值 到 期 ， 那 么 与 之 相关 联 的 地 址 也 会 被 弃 用 ， 尽 管 它 仍然 是 有 效 的 。 
因此 ,已 过 时 的 状态 具有 一 个 过 渡 期 ， 在 这 期 间 的 地 址 仍然 具有 相应 功能 ， 但 
是 不 能 用 来 发 起 新 的 通信 。 一 旦 地 址 的 有 效 生命 周期 结束 ， 那 么 这 个 地 址 也 就 
不 再 有 效 。 应 该 为 子 网 重新 分 配 一 个 不 同 的 网 络 前 缀 ， 这 样 路 由 带 可 以 配置 来 
发 布 这 个 新 前 级 ， 网 络 上 的 设备 会 用 新 的 前 缀 来 代替 过 期 的 旧 前 级 进行 自动 
配置 。 














2.5 移动 IPv6 


IPv6 的 移动 性 支持 ,或 者 称 之 为 移动 IPv6， 使 得 IPv6 节点 从 链 路 到 链 路 移 
动 时 无 颖 沟通。 这 意味 着 ,尽管 底层 网 络 传 输 、 数 据 链 路 层 和 物理 层 网 络 不 断 
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变化 ， 但 上 层 传输 和 应 用 层 通信 仍旧 保持 完好 。 当 然 改 变 链 路 时 ， 如 当 从 46 无 
线 服务 中 移动 到 Wiki 网 络 时 ， 这 意味 着 IPv6 前 级 的 改变 ， 那 么 这 个 移动 设备 就 
必须 改变 它 的 IPv6 地 址 了 。 这 种 连接 在 当前 网 络 上 的 IPv6 地 址 变化 ， 被 称 作 转 
交 地 址 。 

每 一 个 移动 IPv6 设备 也 有 一 个 “固定 的 ”JIPv6 地 址 被 称 为 其 归属 地 址 。 如 
果 这 个 设备 并 没有 漫游 而 是 “本 地 ”状态 的 ， 那么 IPv6 流量 路 由 会 很 自然 地 使 
用 它 的 归属 地 址 。 当 设备 漫游 时 ， 它 得 到 一 个 转交 地 址 ， 这 个 有 状态 或 无 状态 
的 地 址 是 根据 当前 所 在 位 置 和 所 连接 的 网 络 来 自动 配置 的 。 然 后 ， 移 动 节点 以 
其 归属 代理 注册 转交 地 址 ， 一 个 移动 IPv6 配置 路 由 器 在 链 路 上 为 这 些 移动 节点 
的 归属 地 址 进行 服务 。 当 移动 主机 是 归属 状态 ,那么 归属 代理 就 跟 普通 的 路 由 
器 一 样 给 设备 路 由 IPv6 数据 报 ， 如 图 2-17 所 示 。 当 移动 主机 在 漫游 状态 ， 那 么 
归属 代理 会 拦截 发 给 移动 主机 归属 地 址 的 IPv6 数据 报 并 使 用 转交 地 址 通过 隧道 
转发 给 移动 主机 。 











移动 节点 归属 代理 vn par ite 
归属 地 址 : 2001:db8:1:1 通信 节点 


图 2-17 归属 移动 的 移动 IPv6 





移动 主机 和 其 他 主机 (通信 节点 ) 之 间 的 通信 ， 仍 可 能 以 下 面 两 种 方式 之 
一 进行 。 使 用 隧道 的 方法 如 上 所 述 ，IPv6 数据 报 可 能 会 直接 与 归属 地 址 进行 通 
信 ， 这 样 它们 会 被 归属 代理 拦截 并 通过 隧道 转发 给 移动 主机 ; 返回 流量 将 遵循 
同样 的 路 线 ， 通 过 归属 代理 到 达 相 应 的 节点 。 这 一 过 程 如 图 2-18 左 图 所 示 。 


T'S 
通信 节点 


归属 红 理 
IPv6-in-IPv6 隧 道 
访问 网 络 


去 节点 
Sa o n 转交 地 址 :2001:db8:ffff::1 
到 2-18 漫游 中 的 移动 IPv6 
一 般 来 说 ， 这 种 “三 角 路 由 ”的 过 程 不 仅 低 效 ， 还 可 能 导致 归属 代理 资源 
超载 。 移 动 节 点 和 通信 节点 之 间 一 种 更 高 效 更 直接 的 通信 方式 ， 如 图 2- 18 AE 
所 示 。 这 种 更 有 效 的 路 由 选择 只 要 求 对 应 节点 文 持 IPw6， 包 括 移动 性 扩展 报头 
即 可 。 移 动 头 是 用 来 在 移动 节点 和 通信 节点 携带 消息 ， 并 用 此 消息 去 证 实 转交 
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节点 和 归属 地 址 关联 ， 路 由 可 达 性 及 当 移动 主机 持续 移动 时 通信 连接 的 实时 更 
新 。 本 书 第 6 章 再 详细 讨论 这 部 分 内 容 。 

作为 扩展 头 的 补充 ， 移 动 IPv6 利用 以 下 五 种 ICMPv6 消息 类 型 : 

o 归属 代理 地 址 发 现 请 求 (ICMPv6 类 型 值 为 144) 一 一 允许 一 个 移动 节点 
初始 化 动态 归属 代理 发 现 。 在 移动 归属 地 址 前 级 附 上 已 知 的 归属 代理 任 播 地 址 
(本 书 第 3 章 会 讨论 )， 这 人 允许 移动 设备 识别 网 络 上 的 归属 代理 ， 如 漫游 时 一 个 
归属 代理 被 重新 配置 了 。 

o 归属 代理 地 址 发 现 响应 (ICMPv6 类 型 值 为 145 ) 响应 归属 代理 发 送 
的 归属 代理 地 址 发 现 请 求 ， 以 标识 它 作 为 归属 代理 的 单 播 地 址 。 

o 移动 前 缀 请求 (ICMPv6 类 型 值 为 146) 一 一 允许 一 个 移动 设备 去 收集 关 
于 它 的 归属 网 络 的 前 级 信息 ， 如 归属 网 络 重 新 配置 时 归属 网 络 前 缀 可 能 发 生 
变化 。 

e 移动 前 级 通告 (ICMPv6 类 型 值 为 147) 一 一 归属 代理 可 以 通过 使 用 这 个 
消息 与 目前 的 归属 网 络 前 缀 信息 进行 通信 。 

© 移动 IPv6 快速 切换 消息 (ICMPv6 类 型 值 为 154) 一 一 此 消息 类 型 ， 被 移 
动 节点 用 来 引起 路 由 器 发 送 代理 路 由 器 通告 ， 以 及 被 代理 路 由 器 用 来 提供 这 样 
的 通告 给 快速 移动 切换 。 服 务 提 供 商 通常 会 实现 这 样 的 代理 来 降低 空中 接口 开 
销 和 提高 网 络 效率 。 
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2.6 保留 子 网 任 播 地 址 


RFC 2526 〈 即 本 书 参 考 文献 [31] ) 定义 了 保留 子 网 任 播 地 址 的 格式 。 这 
些 地 址 被 IPv6 设备 用 来 在 一 个 特定 的 子 网 中 将 数据 报 路 由 到 距离 最 近 的 特定 
类 型 的 设备 。 例 如 ， 一 个 保留 子 网 任 播 地 址 可 以 在 特定 的 子 网 中 被 用 来 发 送 
数据 报到 最 近 的 移动 IPv6 归属 代理 。 由 于 全 局 路 由 前 级 和 子 网 ID 在 地 址 类 
型 中 是 被 规范 化 的 ， 这 使 得 一 个 节点 可 以 定位 子 网 中 距离 最 近 的 特定 类 型 
节点 。 

地 址 格式 呈现 两 种 形式 中 的 哪 一 种 ,取决 于 子 网 前 级 是 否 根 据 基于 接口 
ID 字段 经 改进 的 EUI-64 算法 推导 。 除 了 那些 以 [000], 开头 的 ， 所 有 全 局 
单 播 地 址 都 必须 使 用 64 位 接口 ID 机 制 ， 它 以 接口 的 链 路 层 地 址 和 之 前 提 到 
的 改进 的 EUI-64 算法 为 推导 基础 。 

1. 如 果 需 要 EUI-64 算法 ， 保 留 子 网 任 播 地 址 则 以 下 面 几 个 字段 串联 制定 : 

© 64 位 全 局 路 由 前 级 和 子 网 ID, 

* 除了 第 7 位 是 0，57 位 连续 的 全 1 (第 71 位 开始 从 左 向 右 数 )。 当 使 用 
EUI-64 算法 时 ， 这 个 第 7 位 与 硬件 地 址 中 的 公司 标识 符 字段 中 的 “u” 位 一 致 。 











第 2 章 IPv6 概述 39 





这 个 二 进 制 位 通常 为 0， 在 这 个 特定 的 情况 下 其 代表 “归属 ”。 

* 七 位 任 播 ID, RFC 2526 定义 了 一 个 单一 的 十 六 进 制 数 7e 作为 移动 IPv6 
归属 代理 任 播 地 址 ， 其 他 任 播 ID 是 保留 的 。 尽 管 IANA 可 能 会 根据 未 来 的 IETF 
REC 标准 分 配 另 外 的 任 播 ID ( 见 图 2-19)。 

0 63 64 57 位 120 121 127 


网 络 前 级 ies 任 播 ID 
(648) oo Wa (742) 








Z| 2-19 当 要 求 EUI-64 时 保留 子 网 任 播 地 址 格式 91 


2. 如 果 没 有 使 用 EUI- 64 ， 而 基于 全 局 路 由 前 缀 和 子 网 ID ， 那 么 网 络 前 绥 长 
度 是 任意 的 n 位 ， 紧 接着 是 121 -n 的 1 位 ， 后 跟着 7 位 任 播 ID (ILA 2-20), 


0 121 -n 位 ”120 121 127 











网 络 前 缀 i 任 播 ID 
(nf) Tuomaan 111 (7 位 ) 











Z| 2-20 RER EUI-64 时 保留 子 网 任 播 地 址 格式 90 








2.7 要 求 的 主机 IPv6 地 址 


RFC 4284 ( 即 本 书 参 考 文献 [32] ) 总 结 了 IPv6 节点 、 一 台 实 现 了 IPv6 的 
设备 和 IPv6 路 由 器 的 需求 。 根 据 所 需 的 地 址 ， 所 有 IPv6 节点 必须 能 够 识别 的 自 
己 的 IPv6 地 址 如 下 : 

e 回环 地 址 (:: 1)。 

o 本 地 链 路 单 播 地 址 (fe80:: < 接口 ID > 通过 自动 配置 进行 配置 ) 。 

e 全 部 节点 多 播 地 址 (ff0s:: 1， 其 中 s 为 范围 ) 。 

© 单 播 和 任 播 地 址 在 各 个 接口 上 自动 或 手动 配置 。 

o 每 个 单 播 和 任 播 地 址 的 请 求 节点 多 播 地 址 。 

e 节点 所 属 的 每 个 多 播 组 的 多 播 地 址 。 

此 外 ， 一 个 路 由 器 节点 还 需要 以 下 地 址 : 

© 子 网 路 由 器 任 播 地 址 ( < 子 网 前 级 > :: /128 ， 子 网 ID =0s) 除了 在 /127 
上 的 点 对 点 路 由 器 链 路 。 

e 所 有 路 由 器 多 播 地 址 (ff0s:: 2， 其 中 s 为 范围 ) 。 

o 在 路 由 器 中 配置 的 任 播 地 址 。 

其 他 设备 类 型 ， 如 DHCP 和 DNS 服务器， 必须 认得 范围 内 由 IANA 分 配 的 
组 ID (如 标志 =0) 对 应 的 多 播 地 址 。 
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2.8 IPv6 路 由 





IPv6 动态 路 由 操作 与 IPv4 路 由 的 相同 ， 它 使 用 最 长 前 级 匹配 算法 。 目 前 ， 
大 部 分 路 由 协议 已 经 更 新 可 支持 IPv6 前 缀 /路 由 器 的 通信 。 除 了 IPv6 目的 地 址 
的 手动 配置 静态 路 由 ，IPv6 内 部 网 关 协 议 支 持 以 下 几 项 ; 














e OSPFv3 最 短路 径 优 先 。 
e 整合 IS- ISv6 中 间 系 统 。 
e RIPng 一 一 下 一 代 路 由 信息 协议 。 





e 思科 EIGRP 一 一 增强 内 部 网 关 路 由 协议 。 
e 边界 网 关 协 议 (Border Gateway Protocol, BGP) 一 一 各 种 现存 的 外 部 网 关 
协议 支持 IPv4 以 上 的 版 本 ,也 支持 IPv6 协议 。 
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每 个 考虑 部 署 IPv6 的 组 织 机 构 都 必须 将 IPv4 和 IPv6 一 起 考虑 进去 。 这 是 十 
庸 置疑 的 ， 就 算 对 于 那些 打算 部 署 独立 IPv6 的 组 织 来 说 也 同样 如 此 。 这 就 又 说 
回 到 了 本 书 第 1 章 提 到 的 全 局 因特网 越 来 越 混合 的 问题 。 假 设 一 个 组 织 机 构 要 
接 入 到 这 个 无 所 不 在 的 因特网 ， 那 么 它们 的 部 署 应 该 同时 支持 IPv4 和 IPv6 一 段 
时 间 。 

由 于 IPv4 和 IPv6 的 兼容 性 不 太 友 好 ， 互 联网 社区 很 早 地 意识 到 了 IPv4 和 
IPv6 之 间 互 通 的 必要 性 。 事 实 上 ，IETF 至 今 已 经 提出 超过 20 种 IPv4 和 IPv6 T. 
通 的 方案 ， 显然 并 不 缺 可 行 方 案 。 但 困难 的 是 ， 在 这 么 多 的 选择 下 ， 如 何 筛选 
最 适用 你 的 网 络 的 技术 。 本 章 ， 将 把 重点 放 在 这 众多 相对 成 型 的 IPv4/IPv6 共存 
技术 上 ， 分 别 讨论 它们 的 显著 特点 和 优势 ， 从 而 帮助 你 作出 最 适合 部 署 你 的 网 
络 的 选择 。 

总 体 来 看 ， 这 些 Pv47IPv6 共存 技术 可 大 致 分 为 以 下 这 三 类 : 

© 双 栈 。IPv4 和 IPv6 都 在 网 络 设备 上 获得 支持 。 

o 隧道 。 将 IPv6 的 数据 报 封装 在 IPv4 的 数据 报 中 ,使 用 IPv4 网 络 进行 传 
输 ， 反 之 亦 然 。 

e 转换 。 指 耳 头 、 卫 地 址 和 端口 的 转换 ， 如 主机 、 网 关 或 NAT 设备 上 实现 
的 那样 。 

一 些 设备 提供 方 提出 了 双重 协议 策略 ， 会 选取 本 章 后 续 讨 论 的 多 种 技术 进 
行 结合 。 企 业 部 署 可 能 同样 需要 多 种 技术 的 结合 实施 ， 以 适应 分 阶段 部 署 和 合 
作 伙 伴 网 络 的 需要 等 。 而 双 栈 则 是 设想 中 最 普遍 的 实现 方法 。 






















































































3.1 WH 





双 栈 方法 是 IPv4 和 IPv6 的 协议 栈 在 网 络 设 备 上 的 共同 实现 。 这 里 的 设备 包 
括 了 路 由 器 和 其 他 的 基础 设备 、 应 用 服务 器 、 终 端 用 户 设备 ， 它 们 都 需要 支持 
接 入 两 种 协议 网 络 层 的 技术 。 这 些 设备 都 需要 被 设置 IPv4 和 IPv6 两 种 协议 地 
址 ， 也 可 以 通过 管理 员 授权 对 应 不 同 协议 的 不 同 途 径 获 得 这 些 地 址 。 

使 用 双 栈 进行 部 署 ， 相 比 单 IP 的 协议 栈 ， 根 据 双 栈 共用 的 协议 的 不 同 ， 实 
施 的 形式 也 不 尽 相 同 。 理 想 的 情况 是 ， 只 改 用 双 网 络 层 ， 而 应 用 层 、 传 输 层 和 
数据 链 路 层 仍然 使 用 共同 的 协议 。 这 种 方式 已 经 在 微软 Windows Vista 和 
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Windows 7 系统 上 采用 ， 相 反 微 软 Windows XP 对 传输 层 和 网 络 层 均 采用 了 双 栈 
结构 ， 而 这 种 方式 有 时 候 会 导致 在 双 协 议 栈 上 的 元 余 配 置 。 而 其 他 有 一 些 方法 ， 
则 将 双 栈 的 范围 扩展 到 物理 层 ， 这 就 要 求 网 络 为 Pv6 和 IPv4 分 别提 供 网 络 层 接 
口 。 这 种 部 署 方法 虽然 无 法 体现 分 层 网 络 协议 模型 优势 ， 却 是 有 针对 目的 的 。 
尤其 是 对 于 装载 许多 复杂 的 应 用 和 服务 的 网 络 服务 器 ， 其 中 的 某 些 应 用 或 服务 
只 支持 某 一 种 IP 时 ， 会 变 得 尤为 合理 。 


3.1.1 双 栈 的 实施 


双 栈 设备 的 部 署 使 用 同一 物理 网 络 接口 。 也 就 是 说 ，IPv4 和 IPv6 在 同一 物 
理 链 路 上 工作 ， 该 双 栈 网 络 原 理 (物理 和 逻辑 ) 如 图 3-1 所 示 。 根 据 分 层 协议 
特性 ， 以 太 网 和 其 他 处 于 模型 第 二 层 的 技术 均 能 够 为 I Pv4 和 IPv6 中 的 其 中 一 种 
协议 提供 负载 支持 。 双 栈 设 备 需要 同一 路 由 器 支持 同 为 双 栈 的 链 路 ， 或 者 IPv4 
和 IPv6 的 路 由 器 之 间 有 直接 链 路 连通 。 为 给 定 的 设备 分 配 IPv4 和 IPv6 地 址 时 ， 
采用 以 下 手段 : 




















IPv4/IP v6 
路 由 器 





单 IPv6 











IPv4/IPv6 
路 由 器 






单 IPv4 pas PIP V6 
图 3-1 双 栈 网 络 原理 '*” 





e 对 于 路 由 器 、 交 换 机 和 接 人 互联 网 的 设备 (如 网 站 、 邮 件 服务 器 ) 这 样 
的 基础 设备 ， 可 以 人 工 直接 在 设备 上 配置 IPv4 和 IPv6 地 址 ， 使 得 这 些 设备 具有 
确定 的 持续 一 致 的 地 址 。 当 更 改 这 些 设备 上 的 地 址 时 ， 相 对 应 的 DNS 资源 记录 
(A 或 AAAA) 也 要 随 之 改变 。 

e 对 于 其 他 的 非 基础 设备 ， 除 了 同样 采用 静态 分 配方 法 外 ， 也 可 使 用 动态 地 
址 分 配 。 通 常 使 用 DHCP 对 IPv4 地 址 进行 动态 分 配 。 而 对 于 IPv6 地 址 ， 对 应 地 
可 使 用 DHCPv6 进行 分 配 ， 或 者 使 用 SLAAC 进行 分 配 ， 也 可 以 是 两 者 的 结合 。 
注意 ，IPv4 地 址 和 IPv6 地 址 的 分 配 是 相对 独立 的 ， 并 不 存在 通过 一 次 操作 就 既 
分 配 IPv4 地 址 、 又 分 配 IPv6 地 址 的 DHCP; 对 IPw4 和 IPv6 两 者 也 可 以 分 别 采 用 
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不 同 的 分 配 策略 ， 如 一 种 用 静态 分 配方 法 而 另外 一 种 采用 DHCP, 

路 由 絮 被 普遍 预期 会 是 第 一 种 需要 升级 支持 两 种 协议 的 设备 。 而 一 个 关于 
信息 类 的 标准 一 一 RFC 4554 ( 即 本 书 参 考 文献 [33]) 描述 了 一 种 无 需 立 即 升 
级 路 由 器 ， 只 使 用 VLAN 进行 配置 的 全 新 方法 。 此 方法 利用 了 VLAN 标识 ,使 
二 层 的 交换 机 可 以 向 一 台 或 多 台 支 持 IPv6 WER AES FB ARIK AT IPv6 负载 
的 以 太 网 帧 。 将 某 台 路 由 器 (如 连接 IPv6 网 络 (因特网 ) 的 网 关 ) 升级 至 支持 
IPv6 后 ， 与 该 路 由 器 连接 的 交换 机 端口 等 都 可 配置 为 “IPv6 VLAN”。 而 其 他 
IPv6 或 双 栈 设备 则 可 以 配置 成 此 IPv6 VLAN 的 成 员 ， 类 似 的 ， 可 以 配置 多 个 这 
样 的 VLAN。 图 3-2 所 示 的 使 用 VLAN 的 双 栈 部 署 ， 是 这 种 部 署 的 一 个 示例 。 
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Z|3-2 使 用 VLAN 的 双 栈 部 署 3 








3.1.2 使 用 哪 种 地 址 


为 选 定 的 设备 配置 好 IPv4 和 IPv6 地 址 后 ， 要 如 何 指 定 何 时 用 何 种 协议 呢 ? 
RFC 6724 ( 即 本 书 参 考 文献 [34]) 描述 了 当 上 层 应 用 9 没有 指定 选用 IPv6 设 
备 时 ， 分 别 如 何 选择 源 地 址 和 目的 地 址 的 算法 。 这 种 情况 下 ， 它 通常 会 调用 
getaddrinfo () 套 接 字 接口 (sockets API) ， 向 它 的 TCP/IP 栈 获取 一 个 目的 耳 地 














”例如 ,输入 一 个 中 地 址 打开 FTP 会 话 时 ， 这 个 目的 下 地 址 即 被 使 用 〈 假 设 目的 地 址 的 设备 使 用 
的 协议 版 本 与 源 地 址 一 致 ) 。 
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址 。 因 此 ， 如 果 你 的 笔记 本 电脑 是 双 栈 的 ， 当 你 访问 一 个 “www” 网 址 时 ， 浏 
览 器 会 使 用 getaddrinfo () 调用 获取 一 个 或 者 一 组 目的 IP 地 址 。RFC 6724 所 定 
义 的 这 个 地 址 选择 算法 是 通过 ， 使 用 getaddrinfo ( ) 调用 ,将 返回 应 用 的 IP 地址 
按 优先 级 进行 排序 ， 从 而 选择 所 需 的 目的 地 址 。 而 源 地 址 通常 是 由 网 络 层 (如 
根据 你 的 笔记 本 电脑 上 的 设置 ) 进行 选择 ， 用 于 初始 化 选择 目的 地 址 的 连接 。 

地 址 选择 基于 以 下 几 项 输入 参数 : 设备 配置 的 地 址 、 这 些 地 址 的 状况 (如 
优先 与 弃 用 ) 、 地 址 的 范围 (如 ULA 与 公共 地 址 ) ， 以 及 A 型 或 AAAA 型 DNS 
域名 解析 返回 的 地 址 。 其 过 程 是 ， 通 过 设备 的 TCP/IP 栈 (通常 搭建 于 设备 的 操 
作 系 统 上 ) ， 根 据 策略 表 ， 从 候选 的 地 址 中 ， 选 择优 先 级 最 高 的 或 者 最 适合 的 地 
址 。 策 略 表 采 用 最 长 前 缀 匹配 表 ， 表 中 为 每 个 前 级 配置 关联 的 优先 级 值 和 标记 
值 ， 见 表 3-1。 


























表 3-1 地 址 选择 策略 表 "”] 



















































































前 组 È 先 级 标 id 说 明 
: :1/128 60 0 回环 地 址 
::/0 40 2 IPv6 地 址 
: :ffff:0 :0/96 30 3 IPv4 地 址 (IPv4 映射 ) 
2002: :/16 20 4 6to4 地 址 
2001; :/32 10 5 Teredo 地 址 
fc00 : :/7 50 1 唯一 区 域 地 址 (ULA) 
::/96 1 10 IPv4 兼容 地 址 (已 弃 用 ) 
fec0: :/10 1 11 站 点 本 地 地 址 (已 弃 用 ) 
3ffe: :/16 1 12 6bone 地 址 ( 逐渐 被 淘汰 ) 
DNS 返回 的 目的 地 址 参照 它们 各 自 优先 级 的 值 进行 排序 ， 优先 级 越 高 ， 在 


返回 的 地 址 列表 就 越 靠 前 。 而 同样 的 ， 源 地 址 也 根据 优先 级 的 值 划 分 优先 顺序 ， 
不 过 带 有 目的 地 址 标记 值 的 源 地 址 会 更 加 优先 。 因 此 ， 如 果 DNS 域名 解析 到 了 
一 个 ULA 地 址 ， 而 源 设备 就 是 带 对 应 前 级 的 ULA 地 址 ， 那 么 IPv6 头 中 对 应 的 源 
地 址 和 目的 地 址 将 会 被 设 定 为 这 些 ULA 地 址 。 如 果 上 面 给 出 的 策略 表 按 照 优 先 
级 值 的 递减 顺序 排列 ， 那 么 大 致 将 得 到 的 是 如 下 优先 级 排列 的 顺序 ， 依 次 为 回 
环 地 址 、ULA 地 址 、IPv6 地 址 、IPw4 地 址 6to4 地 址 、Toredo Hutt, Æ F =I 
的 优先 级 值 均 为 “1”， 即 不 提倡 使 用 。 从 IPv4/1IPv6 共存 的 角度 看 ， 根 据 这 个 默 
认 策 略 表 ， 显 然 IPv6 要 优先 于 IPv4 被 使 用 。 

RFC 6555 ( 即 本 书 参考 文献 [35]) 定义 的 “快乐 眼球 双 栈 (happy 
eyeballs dual stack)” ”是 影响 IPv4 和 IPv6 连接 选择 的 另 一 个 因素 。 建 立 一 个 连接 
(由 TCP 或 应 用 创建 ) 的 常规 步 又 是 ， 对 上 述 地 址 选择 返回 的 地 址 依次 进行 连接 
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建立 。“ 快 乐 的 眼球 ”方法 力图 减少 潜在 的 连接 延迟 ， 当 一 个 刚 建立 的 IPv6 E 
接 断 开 时 ， 紧 随 其 后 的 IPv4 连接 可 以 成 功 建立 。 实 现 过 程 是 ,假设 IPv6 地 址 在 
地 址 选择 中 最 优先 ， 则 先 试图 建立 IPv6 连接 ; 然后 ， 假 设 在 地 址 选择 过 程 中 返 
回 最 靠 前 的 为 IPv4 地 址 ， 则 在 短暂 的 300 ms 延迟 之 后 ， 初 始 化 IPv4 连接 。 使 用 
这 样 的 方法 ，IPv6 连接 如 果 建 立 失 败 ， 那 么 转 为 建立 IPv4 连接 的 延迟 就 被 最 小 
化 了 ,应 用 的 体验 受到 的 影响 很 小 。 这 个 方法 的 使 用 前 提 是 ， 尝 试 建立 的 连接 
所 给 定 的 主机 域名 (U www. ipamworld. com) 已 经 以 A 型 和 AAAA 型 存 于 DNS 
资源 记录 。 因 此 ， 建 议 2 在 DNS 记录 中 同时 使 用 两 种 类 型 保存 双 栈 的 域名 ， 而 
不 是 只 使 用 “ipv6” 这 样 的 标识 (如 ipv6. ipanworld. com) 。 








3.1.3 探究 DNS 


回顾 之 前 的 讨论 ， 注 意 到 IPv6 主机 策略 表 ， 显 然 ， 在 双 栈 主机 中 DNS 给 
IPv6 数据 流 扮 演 了 重要 的 角色 。 为 同样 的 主机 域名 分 别 存 和 人 AAAA 记录 和 A 记 
录 ， 会 使 源 设备 在 IPv6 可 用 时 均 使 用 IPv6 连接 。 事 实 上 ， 对 于 本 章 所 讨论 的 每 
个 过 渡 技术 ，DNS 都 是 非常 关键 的 ， 毕 况 它 对 终端 的 不 同 域名 标识 之 间 提 供 了 
至 关 重 要 的 联系 ， 如 应 用 层 上 的 网 站 地 址 和 目的 IP 地 址 (无论 是 IPv4 或 IPv6 
地 址 )。 而 且 ， 由 于 IPv6 需要 编 址 ， 在 应 用 层 上 ， 用 户 会 发 现 ， 输 入 IPv6 地 址 
比较 麻烦 。 终 端 用 户 若 要 访问 双 栈 设备 ， 需 先进 行 DNS 域名 解析 (可 由 管理 员 
配置 ， 分 别 将 此 节点 的 IPv4 地 址 和 IPv6 地 址 分 别 关联 一 个 A 记录 和 一 个 AAAA 
记录 )。 记 录 中 ， 域 名 所 有 者 可 能 有 相同 或 不 同 的 关联 到 此 设备 的 主机 名 ， 参见 
下 面 的 例子 : 

dual- stack- host. ipamworldwide. com. 86400 IN A 10. 200. 0. 16 

dual- stack- host. ipamworldwide. com. 86400 IN AAAA 2001 : db8 :2200: :a 

这 个 例子 中 ， 主 机 dual- stack- host. ipamworldwide. com 对 IPv4 和 IPv6 均 支 
持 。 双 栈 设 备 访问 这 台 主 机 时 ， 会 先 试 图 通过 IPv6 连接 ， 若 失败 则 转 而 试图 进 
行 IPv4 连接 。 

为 使 IP 地 址 转向 主机 ， 域 名 应 该 在 DNS 中 使 用 恰当 的 . arpa 域名 进行 配置 。 
PTR 资源 记录 对 应 IPv4 地 址 ， 列 首 写 和 人 恰当 的 in- addr. arpa zone 文件 ; 同 理 ， 
IPv6 PTR 记录 则 在 恰当 的 ip6. arpa zone 文件 中 配置 。 而 所 谓 “ 恰 当 的 ”zone X 
件 ， 则 取决 于 组 织 的 DNS 管理 策略 。 一 些 DNS 集中 化 管理 的 组 织 会 分 别提 供 一 
个 包含 所 有 IPv4 的 PTR 记录 的 in- addr. arpa zone 文件 ， 以 及 一 个 包含 所 有 IPv6 
































”实际 上 ， 在 连接 的 初始 化 和 测试 中 ，IPv6 地 址 单独 使 用 一 个 主机 域名 ， 对 解决 连接 问题 而 言 是 
一 个 好 习惯 。 但 是 已 被 证 实 的 是 ，AAAA 记录 所 有 者 将 其 转换 为 常规 的 主机 名 ， 而 独立 IPv6 主 
机 名 可 以 被 省 去 。 
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PTR 记录 的 ip6. arpa zone 文件 。 而 另 一 些 组 织 则 向 子 网 管理 者 提供 DNS 权限 ， 
为 每 个 子 网 都 发 放 反 向 解析 文件 ! 虽然 如 此 ， 大 多 数组 织 最 后 管理 的 zone X 
件数 量 都 是 适度 的 。 不 论 有 多 少 zone 文件 ， 都 需要 分 别 为 每 台 主 机 配置 资源 
记录 。 

16. 0. 200. 10. in- addr. arpa. 86400 IN PTR dual- stack- host. 

ipamworldwide. com. 

a. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 2. 2. 8. b. 

d. 0. 1. 0. 0. 2. ip6. arpa. 86400 IN PTR dual- stack- host. 

ipamworldwide. com. 

要 进行 DNS 解析 、 与 目的 主机 (依照 地 址 选择 策略 表 返 回 的 结果 所 对 应 的 
地 址 和 协议 ) 通信 ， 双 栈 的 节点 必须 支持 接收 A 记录 和 AAAA 记录 。 根 据 DNS 
查询 和 结果 所 使 用 的 IP 版 本 ，RFC 3901 [因特网 当前 最 佳 实践 (Internet Best 
Current Practice 91) ] 建议 每 个 递归 式 DNS 要 么 支持 单 IPv4， 要 么 支持 IPv4/ 
IPv6 双 栈 。 这 个 REC 文档 也 建议 ， 每 个 DNS zone 应 由 至 少 一 个 IPv4 可 达 的 DNS 
授权 服务 器 进行 维护 。 这 些 建 议 阐述 了 为 相当 一 段 时 间 内 大 量 的 单 IPv4 使 用 提 
供 的 向 后 兼容 的 解决 方案 。 因 此 ， 如 果 你 计划 在 你 的 子 网 实施 双 栈 ,那么 子 网 
内 必须 包括 DNS, 


3.1.4 探究 DHCP 


实施 双 栈 时 ，DHCP 的 使 用 相对 简单 一 一 各 个 栈 分 别 使 用 对 应 版 本 的 
DHCP。 也 就 是 说 ， 要 获得 IPv4 地 址 ， 就 使 用 DHCP (v4); 而 要 获得 IPv6 地 址 
或 前 级 ， 就 是 用 DHCPv6。 不 过 ， 两 种 DHCP 形式 都 需要 补充 一 些 配置 信息 ， 如 
使 用 哪 台 DNS 或 NTP 服务 器 等 。 这 两 种 协议 栈 的 服务 器 的 信息 结合 如 果 处 理 得 
不 适当 ， 可 能 会 使 客户 端 不 正常 工作 。 例 如 ， 如 果 两 栈 的 DHCP 都 提供 了 DNS 
地 址 ， 那 么 ，IPv4 和 IPv6 的 优先 顺序 ， 或 者 混合 的 优先 顺序 都 可 能 导致 地 址 不 
能 正常 传送 。 对 这 个 情况 的 担忧 一 直 存 在 ， 就 像 RFC 4477 ( 即 本 书 参 考 文 献 
[37] ) 中 提 到 的 一 样 。 不 过 ， 现 行 的 标准 是 ， 为 IPv4 使 用 DHCP 服务 器 ， 另 为 
IPv6 使 用 DHCPv6 服务 器 ， 当 然 实 际 上 它们 有 可 能 运行 在 同一 台 普 通 的 服务 
器 上 。 









































3.2 隧道 方法 


IPv4/1Pv6 共存 技术 的 第 二 个 主要 类 别 是 隧道 技术 ,目前 已 经 有 支持 在 IPv6 
上 的 IPv4 和 在 IPv4 上 的 IPv6 的 多 种 隧道 技术 。 这 些 技术 总 体 来 看 可 分 为 手工 配 
置 隧 道 或 自动 配置 隧道 。 手 工 配置 隧道 是 预先 定义 的 ， 而 自动 配置 隧道 (也 被 
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称 为 “ 软 线 隧 道 ”) 的 建立 和 拆除 是 动态 的 。 回 顾 一 些 隧 道 技术 的 基础 后 ， 下 面 
将 讨论 这 两 种 隧道 类 型 。 

一 般 情况 下 ， 在 IPv4 网 络 上 的 IPv6 隧道 技术 需要 将 IPv6 的 报 文 加 上 IPv4 
的 报头 作为 前 级 。 这 样 使 得 IPv6 的 数据 报 能 够 在 IPv4 路 由 设施 上 按照 路 线 发 

送 。IPv6 报 文 被 简单 地 认为 是 IPv4 数据 报 ( 见 图 3-3) 中 的 有 效 负载 。 隧 道 的 
人口 节点 ， 无论 是 路 由 器 或 主机 ， 将 进行 封装 。 在 IPv4 报头 的 源 地 址 处 填 人 该 
节点 的 IPv4 地 址 ， 然 后 目的 地 址 是 隧道 另 一 个 端点 。IPv4 报头 中 的 协议 字段 
(protocol field) 被 设置 为 十 进 制 的 41， 用 以 标明 这 是 一 个 IPv6 报 文 的 封装 。 在 
隧道 的 出 口 节点 ，IPv4 的 报头 将 被 剥离 解 封 ， 该 数据 报 将 作为 IPv6 报 文 被 路 由 
至 最 终 的 IPv6 目的 地 址 。 





IPv6 报 头 TCP/UDP 





IPv4 报 头 IPv6 报 头 TCP/UDP 














Z| 3-3 IPv6 上 的 IPv4 bei 8! 


3.2.1 IPv4 网 络 上 IPv6 数据 报 的 隧道 方案 


通过 使 用 这 种 基本 的 隧道 方法 ,设计 了 基于 隧道 的 两 个 端点 多 种 情况 。 可 
能 最 常见 的 配置 是 一 条 路 由 器 到 路 由 器 的 隧道 ， 如 图 3-4 所 示 ， 这 是 对 于 配置 隧 
道 的 最 常用 的 方法 。 







IP IPv6 主 机 
v4 地 4 地 址 =C vos aE =Z 


1 
A V6 源 地 址 =W 
OSES =W v6 目标 地 址 =Z 
v6 目标 地 址 =Z 











到 3-4 ”路 由 器 到 路 由 器 的 隧道 '* 


图 中 ， 左 侧 起 始 的 IPv6 主机 具有 的 IPv6 地 址 为 W (为 了 简单 起 见 ) ; KE 
IPv6 地 址 为 Z 的 远 端 主机 的 数据 报 2 被 发 送 到 一 个 连接 W 所 在 子 网 的 路 由 器 上 。 











图 3-4 中 ， 报 文大 致 标识 为 原始 主机 下 的 实 线 和 矩形 ， 显 示 包 的 IPv6 源 地 址 W 和 目的 地 址 Z。 在 这 
个 和 随后 的 隧道 图 中 ， 隧 道 头 显示 为 虚线 矩形 。 
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该 路 由 器 的 IPv4 地 址 为 B，IPv6 地 址 为 X， 接 收 IPv6 报 文 。 路 由 器 被 配置 为 将 
发 送 往 Z 所 在 的 网 络 的 数据 报 使 用 隧道 传输 ,路 由 器 将 会 用 IPv4 报头 封装 这 些 
IPv6 报 文 。 该 路 由 器 使 用 其 IPw 地 址 (B) 作为 IPv4 源 地 址 ， 然 后 用 隧道 终点 
的 路 由 器 的 IPv4 地 址 (C) 作为 目的 地 址 ， 如 图 3-4 所 示 的 中 央 IPv4 网 络 下 的 
虚线 矩形 。 使 用 隧道 技术 的 数据 报 会 像 “ 常 规 ”IPv4 数据 报 一 样 按照 路 由 路 径 
发 送 到 隧道 终端 的 目的 路 由 器 。 该 路 由 器 解 封装 数据 报 ， 去 除 掉 IPv4 报头 ， 然 
后 将 原始 的 IPv6 数据 报 发 送 给 原 定 的 目的 地 址 Z。 

另 一 种 隧道 技术 方案 是 用 能 够 同时 支持 IPv4 和 IPv6 的 一 台 IPv6/IPv4 € 
机 ; 该 主机 可 以 通过 隧道 技术 将 数据 报 发 送 给 路 由 右 ; 该 路 由 器 解 封装 数据 
报 然后 通过 纯 IPv6 网 络 进行 路 由 传输 。 这 个 流程 和 报头 地 址 如 图 3-5 所 示 。 
这 种 隧道 技术 的 原理 和 路 由 器 -路 由 器 实例 的 一 样 ， 但 是 隧道 的 终点 是 不 一 
样 的 。 
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图 3-5 ”主机 到 路 由 器 的 隧道 配置 


路 由 絮 - 主 机 的 隧道 配置 也 很 相似 ， 如 图 3-6 所 示 。 图 中 左 侧 起 始 的 IPv6 E 
机 发 送 IPv6 数据 报 给 本 地 路 由 器 ， 本 地 路 由 顺 发 送 给 距离 目的 地 最 近 的 路 由 器 。 
该 路 由 器 被 配置 为 利用 隧道 技术 将 IPv6 数据 报 通过 IPv4 网 络 发 送 给 图 中 所 示 的 
主机 。 


















IPv4 网 络 AN 
AEEA O 
IPv6 主 机 IPY6 路 由 器 
v6 地 址 =W v6 地 址 =X T 和 








到 3-6 ”路 由 器 到 主机 的 隧道 配置 * 


最 后 一 种 隧道 技术 的 配置 是 跨度 从 头 到 尾 ， 从 主机 到 主机 。 如 果 路 由 基础 
设施 还 没有 被 升级 到 支持 IPv6， 那 么 这 种 隧道 技术 的 配置 使 得 两 台 IPv6/IPv4 主 
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机 可 以 通过 图 3-7 所 示 的 隧道 进行 通信 。 





1 ”v4 源 地 焉 =A 1 1 A i 1 vA VASE A 


[eS] on one [| rp] 
| | ae Z | ae Z 


3-7 ”主机 到 主机 的 隧道 配置 





3.2.2 隧道 类 型 


正如 之 前 所 提 到 的 ， 隧 道 可 以 是 手工 配置 的 也 可 以 是 自动 配置 的 。 手 工 配 
置 的 隧道 ， 如 6in4 隧道 ， 是 管理 员 在 通信 前 预先 配置 的 。 在 上 文 描述 的 情境 中 ， 
需要 手动 配 隧道 出 入 端点 的 隧道 配置 参数 及 其 他 参数 ， 以 决定 何 时 使 用 隧道 ， 
也 就 是 利用 目的 地 址 ， 来 判别 是 否 需 要 使 用 隧道 。 

自动 配置 隧道 并 不 需要 预先 配置 隧道 ， 但 还 是 要 求 进 行 配置 启动 隧道 。 隧 
道 是 基于 包含 了 IPv6 数据 报 (如 源 地 址 IP 或 目的 地 址 IP) 在 内 的 信息 创建 的 。 
本 节 将 介绍 自动 配置 隧道 技术 : 

© 6to4 。 自 动 配置 隧道 技术 基于 全 局 唯一 的 地 址 前 缀 和 关联 的 全 局 (公共 ) 
IPv4 地 址 ; 6to4 可 用 于 在 基于 IPv4 的 MPLS 网 络 上 互 连 企 业 网 络 中 多 个 远程 站 
点 ， 虽 然 连接 到 因特网 站 点 时 ， 测 量 到 的 连接 失败 率 为 10% ~25% DB 。 

e 站 内 自动 隧道 寻 址 协议 ( Intra- Site Automatic Tunnel Addressing Protocol, 
ISATAP) 。 自 动 化 主机 -路 由 器 ， 路 由 器 - 主机 ， 或 者 主机 - 主机 隧道 技术 ， 这 基 
于 一 种 特殊 内 能 有 IPv4 地 址 的 IPv6 地 址 格式 。 

© 6over4。 使 用 IPv4 多 播 实现 主 机 - 主机 自动 配置 的 隧道 技术 。 

。 隧道 代理 。 当 主机 需要 隧道 时 ， 由 服务 器 作为 隧道 代理 分 配 隧道 网 关 资 源 
的 方式 自动 配置 隧道 。 

e Teredo。 通 过 在 IPv4 网 络 NAT 防火 墙 的 自动 配置 隧道 ， 但 测 得 的 网 络 连 
接 失 败 率 约 占 连接 尝试 的 40% ~50% 。 

© 双 栈 过 渡 机 制 (Dual Stack Transition Mechanism, DSTM), IPv4 数据 报 在 
IPv6 网 络 上 使 用 的 自动 配置 隧道 。 
3.2.2.1 6to4 

6to4 是 指 一 种 “IPv6 over IPv4” 的 隧道 技术 。 这 种 技术 利用 一 种 特殊 的 
IPv6 地 址 格式 来 标识 6to4 数据 报 。 该 地 址 格式 包含 了 一 个 6to4 RTZ, 2002: :/ 
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16; 其 后 为 一 个 全 球 唯一 IPv4 地 址 ， 当 使 用 主机 /路 由 器 - 主机 隧道 技术 时 ， 则 
是 目的 网 站 或 目的 主机 的 IPv4 地 址 。 这 种 串 接 形 成 /48 BTR, WE 3-8 所 示 。 


全 球 唯一 的 IPv4 地 址 : 
19202.131 EIEIO 
6to4 前 级 : 2002::/16 — 


001000000000001011000000000000000000001010000011| 





2002:c000:283::/48 





图 3-8 6to4 HOHE AAR ASHE EO? 














在 这 个 例子 中 ， 唯 一 的 IPv4 地 址 192. 0. 2. 131 表示 终止 6to4 隧道 的 6to4 路 
由 器 或 主机 的 公共 IPv4 地 址 。48 位 的 6to4 前 缀 作为 全 局 路 由 前 绥 ， 一 个 子 网 ID 
可 以 被 附加 为 接 下 来 的 16 位， 后 跟 一 个 完全 定义 的 IPv6 地 址 的 接口 D, 使 用 
6to4 隧道 技术 的 主机 必须 将 其 IPv6 数据 报 的 有 效 负 载 封 装 和 解 封 装 在 IPv4 数据 
报 中 ( 即 追 加 IPv4 报头 )， 这 样 路 由 器 可 以 在 IPv4 网 络 中 对 IPv6 数据 报 进行 路 
由 寻 址 。 该 技术 必须 采用 支持 6to4 隧道 技术 的 路 由 器 (6to4 路 由 器 ); 而 且 通 过 
6to4 隧道 发 送 / 接 收 数据 的 IPv6 主机 ， 必 须 使 用 6to4 地 址 进行 配置 ， 该 主机 被 认 
为 是 6to4 主机 。 

来 看 一 个 例子 : 两 个 包含 IPv6 主机 的 网 站 想 要 通信 ， 并 通过 与 公共 IPv4 网 
络 (如 因特网 ) 相连 的 6to4 路 由 器 互相 连接 。 如 图 3-9 所 示 ， 面 向 互联 网 的 两 
台 路 由 器 的 IPv4 接口 的 IPv4 地 址 分 别 为 192. 0. 2. 130 和 198. 51. 100. 1。 将 IPv4 
地 址 转化 为 6to4 地 址 ， 分 别 得 到 了 2002: c000: 282:: /48 和 2002: c633 : 
6410:: /48。 每 个 从 各 自 网 站 来 的 /48 块 都 可 以 被 通告 在 互联 网 上 ， 可 以 在 各 自 
的 组 织 内 分 配 (分 割 ) 为 /64 子 网 ， 对 于 每 个 子 网 都 要 求 IPv6 主机 在 IPv4 互联 
网 或 其 他 IPv4 私 网 上 的 连通 性 。 为 简单 起 见 ， 左 端的 6to4 主机 子 网 ID =0 和 接 
口 ID =11。 因 此 ， 这 人 台 主 机 的 6to4 地 址 为 2002: c000; 282: 1:: 11。 同 样 ， 在 
另 一端 〈 右 端 ) 的 6to4 主机 所 在 子 网 ID =0 和 接口 ID =0， 因 而 6to4 地 址 为 
2002; c633:; 6401:: F0, 














v6 源 地 址 =2002:c000:282::11 v6 源 地 址 =2002:c000:282::11 v6 源 地 址 =2002:c000:282::11 
目标 地 址 =2002:c633:6401::f0 6 目标 地 址 =2002:c633:6401::f0 | |v6 目 标 地 址 =2002:c633:6401::f0 












6to4 路 由 器 6to4 路 由 器 IPv6 主 机 
IPv6 主 机 IPv4 地 址 =192.0.2.130 IPv4 地 址 =198.51.100.1 JIPv6 地 址 =2001:db8:ac1::f0 


IPv6 地 址 =2001:db8:e4c0::11 6to4 地 址 =2002:c633:6401::f0 
6to4 地 址 =2002:c000:282::11 


图 3-9 6to4 隧道 的 例子 3 
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这 些 6to4 地 址 对 应 的 AAAA 和 PTR 资源 记录 也 应 该 被 添加 到 相应 域 的 DNS 
中 。 当 使 用 隧道 转发 数据 穿 透 因特网 时 ，AAAA 和 PTR 所 记录 的 目的 地 由 每 个 
管理 相应 6to4 设备 的 组 织 维护 ， 该 决议 可 能 需要 向 下 遍历 每 个 域 的 子 树 。 该 
AAAA 记录 遵循 正常 “转发 域 ”决议 , 但 PTR 记录 不 是 那么 简单 。 尽 管 PTR id 
录 的 域 树 形 结构 基于 其 对 应 的 IPv6 地 址 ， 但 在 6to4 隧道 中 ， 它 是 由 一 个 基于 
IPv4 地 址 空间 的 机 构 “ 自 我 配置 ”的 ， 而 不 是 上 游 的 IPv6 地 址 管理 组 织 分 配 ， 
ip6. arpa 代理 与 上 层 的 管理 域 无 关 。 一 个 特别 的 注册 项 被 设立 来 专门 处 理 来 自 
2. 0. 0. 2. ip6. arpa 域 [号 人 码 资源 组 织 (Number Resource Organization, NRO) ] 的 
委托 。 对 应 例子 中 2002: c000: 282:: /48 前 级 的 ip6. arpa 域 的 管理 员 ， 将 
用 6to4. nro. net 连同 相应 的 权威 域名 服务 器 注册 2. 8. 2. 0. 0. 0. 0. C. 2. 0. 0. 2. ip6. 
arpa 域 。 

回 到 数据 报 流 ， 当 图 3-9 所 示 左 端的 主机 想 要 与 右 端的 主机 通信 ， 会 进行 一 
XE MEEVLAY DNS HERR, CARER HOHE ETA St M (2002. 
0633: 6401:; 和 ) 。 基 于 策略 表 里 标 签 的 匹配 ， 发 送信 息 的 主机 将 利用 其 6to4 
地 址 (2002; c000: 282:: 11) 作为 源 地 址 和 目标 主机 6to4 地 址 作为 目的 地 址 。 
当 左 侧 的 6to4 路 由 器 收 到 这 个 数据 报 ， 这 个 路 由 器 将 分 别 使 用 它 的 〈 源 地 址 为 
192. 0. 2. 130) 和 另 一 端 6to4 路 由 需 的 〈 目 的 地 址 为 198. 51. 100.1) IPv4 地 址 
作为 IPv4 报头 封装 数据 报 。 接 收 到 数据 报 的 目的 6to4 路 由 器 解 封装 去 除 IPv4 报 
头 ， 并 将 数据 报 路 由 到 2002: ec633: 6401:: / 64 网 络 中 的 目标 6to4 主机 。 

6to4 可 以 为 IPv6 在 IPv4 网 络 的 通信 提供 一 个 有 效 的 机 制 。 随 着 IPv6 网 络 的 
逐步 部 署 ，6to4 中 继 路 由 器 ， 即 支持 6to4 的 IPv6 路 由 器 ， 可 以 通过 IPv4 网 络 ， 
从 “ 纯 ”IPv6 网 络 主机 到 IPv6 主机 来 传递 数据 报 ， 实 质 上 是 充当 IPv6 网 络 和 
6to4 主机 或 路 由 器 之 间 的 网 关 。 这 使 得 6to4 主机 可 以 与 纯 IPv6 网 络 主机 通信 ， 
反之 亦 然 。 

然而 ， 对 于 这 种 寻 址 和 隧道 模式 的 应 用 ，6to4 主机 或 路 由 器 要 求 6to4 中 继 
路 由 器 有 能 力 将 全 球 单 播 (本 机 ) IPv6 地 址 转换 成 6to4 隧道 地 址 。 这 里 有 以 下 
三 种 方法 配置 中 继 路 由 器 .: 

1. 将 6to4 中 继 路 由 器 作为 目的 IPv6 网 络 地 址 的 下 一 跳 来 配置 路 由 器 。 

2. 利用 普通 的 路 由 协议 ,使 6to4 中 继 路 由 器 能 够 广播 路 由 路 线 给 IPv6 网 
络 。 当 广播 的 路 由 是 指向 迁移 网 络 或 者 内 部 IPv6 网 时 ， 可 使 用 这 种 方式 。 如 果 
说 纯 IPv6 网 络 ( 见 图 3-10) 是 “IPv6 网 络 ”， 那 么 下 面 的 默认 路 由 选项 可 能 是 
更 好 的 选择 。 

3. 配置 一 条 通过 6to4 中 继 路 由 器 访问 IPv6 网 络 的 默认 路 由 。 这 个 方法 可 能 
应 用 于 IPv6 网 络 的 连接 只 能 通过 组 织 内 部 的 IPv4 网 络 到 达 ， 或 者 这 些 组 织 内 几 
乎 没有 纯 IPv6 网 络 。 
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v6 源 地 址 =2002:c000:281:1::1 





v6 目标 地 址 =2001:db8:ac1::f0 








6to4 中 


主机 
IPv4 路 由 器 IPv4 地 址 = sist ome [pv6 地 址 = -306Fdbs acl:m 


6to4 
IPv4 地 址 =192. a 2.129 
6to4 HH HE=2002:c000:281:1::1 


图 3-10 6to4 主机 和 纯 IPv6 EDL (a 
D 原 书 误 为 6to 主机 。 一 一 译 考 注 
如 图 3- 10 左 端 所 示 ， 得 到 一 个 在 IPv4/1Pv6 网 络 上 的 6to4 主机 ， 这 个 主机 
的 6to4 地 址 是 基于 用 户 配 置 的 公共 IPv4 地 址 〈192. 0. 2. 129) 配置 的 。 该 主机 
还 必须 配置 路 由 或 者 默认 路 由 去 发 送 包含 6to4 全 全 全 (192. 88. 99. 1 ) 或 者 包 
含 6to4 中 继 路 由 的 IPv6 地 址 的 IPv6 数据 报 。 这 台 主 机 想 要 与 使 用 2001; db8: 
cl:: f0 地 址 在 纯 IPv6 网 络 上 的 主机 进行 通信 ， 如 图 右边 所 示 。 当 请 求 目的 主 
tt IP 地 址 时 ，DNS 返回 的 AAAA 资源 记录 包含 了 该 主机 的 IPv6 地 址 。 
因此 ， 在 左边 的 6to4 主机 生成 的 IPv6 数据 报 是 以 其 6to4 地 址 为 其 源 IP 地 址 ， 
以 IPv6 地 址 为 其 目的 地 址 。 然 后 主机 用 唯一 的 IPv4 地 址 作为 源 地 址 ， 用 对 应 的 
6to4 中 继 器 的 IPv4 地 址 作为 目的 地 址 来 包装 这 个 数据 报 ， 使 之 能 够 穿 透 IPv4 网 
络 。 当 6to4 中 继 路 由 器 的 数据 报到 达 时 ， 中 继 路 由 器 将 数据 报 发 送 到 2001: db8: 
cl:: /48 网 络 上 。 在 相反 方向 ， 使 用 原来 的 源 6to4 地 址 作为 目的 IPv6 地 址 ， 这 
样 可 以 通知 6to4 中 继 路 由 器 这 个 数据 报 需要 6to4 隧道 到 相应 的 目的 主机 。 
3.2.2.2 站 内 自动 隧道 寻 址 协议 
ISATAP 是 一 个 为 主机 到 路 由 器 、 路 由 器 到 主机 和 主机 到 主机 配置 实现 自动 
搭建 跨越 IPv4 网 络 的 IPv6 隧道 的 实验 性 协议 。ISATAP 的 IPv6 地 址 使 用 IPv4 地 
址 定义 它 的 接口 标识 符 。 这 个 接口 标识 符 由 :: Sefe: wxyz 构 成 ， 其 中 
w. x. yz 是 一 个 点 分 十 进 制 记 法 的 IPv4 地 址 。 所 以 一 个 对 应 于 192. 0. 2. 131 的 
ISATAP 接口 标识 符 记 为 :: 5efe: 192.0.2. 131。 使 用 IPv4 的 地 址 记号 法 可 以 明 
确 地 指示 出 ISATAP 地 址 中 所 包含 的 IPv4 地 址 ， 而 不 用 把 IPv4 地 址 转换 成 十 六 
进 制 的 形式 。ISATAP 接口 ID 可 当 作 是 一 个 普通 的 接口 ID， 可 以 把 它 添加 到 它 
所 支持 的 网 络 前 级 后 面 去 定义 一 个 IPv6 地 址 。 例 如 ， 应 用 了 上 述 ISATAP 接口 
ID 构成 的 IPv6 本 地 链 路 地 址 是 fe80:: 5efe: 192. 0.2. 131, 
支持 ISATAP 的 主机 需要 维护 一 个 潜在 路 由 器 列表 (Potential Router List, 
PRL) ， 该 列表 包含 了 每 一 个 可 以 广播 ISATAP 接口 的 路 由 器 的 IPv4 地 址 和 与 之 
相关 的 地 址 生命 周期 计时 器 。 通 过 IPv4 网 络 上 的 路 由 请 求 ，ISATAP 主机 从 本 地 
路 由 器 中 请 求 到 ISATAP 支持 信息 。 请 求 的 目的 端 需要 事先 在 主机 上 手动 配置 辩 
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别 标识 ， 或 者 是 通过 查找 DNS 中 有 主机 名 为 “isatap” 的 路 由 器 得 到 识别 ， 又 或 
者 是 使 用 DHCP 供应 商 特定 的 能 标识 出 ISATAP 路 由 器 IPv4 地 址 的 特殊 选项 进行 
鉴定 辨别 。DNS 技术 要 求 管 理 员 使 用 “isatap” 这样 的 主机 名 来 给 ISATAP 路 由 
器 创建 资源 记录 。 

一 台 ISATAP 主机 采用 了 图 3- 11 所 示 的 IPv4 头 部 去 封装 IPv6 数据 报 ， 其 中 
使 用 的 对 应 于 被 选 定 路 由 器 的 IPv4 地 址 可 从 PRL 中 得 到 。 

不 管 IPv4 地 址 是 静态 定义 的 还 是 通过 DACP 得 到 的 ，ISATAP 都 能 用 已 配置 
好 的 IPv4 地 址 去 自动 配置 它们 的 ISATAP 接口 ID。 如 果 配 置 了 IPv6， 微软 
Windows XP 系统 和 Windows 2003 服务 器 就 可 以 完成 这 样 的 自动 配置 。 微 软 
Windows Vista 和 Windows 7 系统 及 Windows 2008 服务 器 默认 支持 ISATAP 自动 配 
置 。ISATAP 接口 ID 可 被 添加 到 64 位 的 全 局 网 络 前 缀 和 子 网 标识 符 后 面 ， 由 被 
请 求 的 ISATAP 路 由 器 进行 路 由 广播 。 

如 图 3-11 所 示 ， 左 端的 主机 已 知 目的 主机 的 IP 地址， 此 例 中 用 的 是 IPv6 
地 址 。 










ISATAP 路 由 器 


10 4 地 址 =10.10.0.1 Pant 
ISATAP 地 址 = 2001. HA -Sefe 10.10.0.10" 地 POA hk ZOE abe) Ed 





IPv6 主 机 
v6 地 址 =2001:db8:0:1::ffal 


v6 源 地 址 =2001:db8::5Sefe:10.10.0.10 


EAE D007 db8: Sefer 10. 10.0.10 





目标 hit = 2001: abs: 0: 1::ffal v6 目标 地 址 =2001:db8:0:1::ffal 
v6 目标 地 址 =2001:db8:0:1::ffal 








13-11 ”ISATAP 主机 到 路 由 的 例子 











IPv6 数据 报 由 主机 构建 ， 使 用 本 主机 的 ISATAP IPv6 地 址 作为 源 地 址 ， 目 的 
IPv6 主机 的 地 址 作为 目的 地 址 。 这 个 数据 报 被 封装 在 IPv4 报头 ， 从 而 形成 一 个 
自动 隧道 。 隧 道 的 源 地 址 设置 为 ISATAP 主机 的 IPv4 地 址 ， 目 的 地 址 设置 为 
ISATAP 路 由 的 IPv4 地 址 ， 并 且 IP 头 部 中 的 协议 域 设 为 十 进 制 的 41 来 指明 这 是 
一 个 被 封装 的 IPv6 数据 报 。ISATAP 路 由 器 不 需要 和 主机 处 在 相同 的 物理 网 络 ， 
而 且 这 个 隧道 可 以 跨越 主机 和 ISATAP 路 由 器 之 间 IPv4 网 络 (0 跳 或 多 跳 )。 
ISATAP 路 由 器 除去 IPv4 头 部 后 ， 对 剩 下 的 IPv6 数据 报 进行 正常 的 IPv6 路 由 选 
择 以 送 往 目 的 主机 。 

目的 主机 会 使 用 源 主 机 的 ISATAP 地 址 向 源 主机 发 出 响应 。 因 为 ISATAP 地 
址 包含 了 一 个 全 局 唯一 的 网 络 前 级 / 子 网 ID ， 目 的 数据 报 会 被 发 往 提 供 隧 道 服 务 
的 ISATAP 路 由 器 。 通 过 处 理 接口 ID ， 本 地 的 ISATAP 路 由 器 可 以 提取 出 目的 主 
机 的 IPv4 地 址 ， 并 且 向 源 主机 发 出 用 IPv4 头 部 封装 的 IPv6 数据 报 。 图 3-11 中 ， 
从 右 到 左 ，ISATAP 路 由 器 可 以 构建 通 向 目的 主机 的 ISATAP 隧道 。 
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主机 到 主机 的 ISATAP 隧道 和 图 3-7 所 示 的 相似 ， 可 由 IPv4 网 络 上 的 ISATAP 
主机 发 起 来 构建 ， 条 件 是 本 地 链 路 (同一 个 子 网 ) 或 者 全 局 网 络 的 前 级 可 以 添加 
到 主机 的 ISATAP 接口 ID 的 前 面 。 如 图 3-7 所 示 ，ISATAP 地 址 是 分 别 由 IPv4 地 
hE A 和 DD 生成 的 IPv6 地 址 W 和 ZZ 。 
3.2.2.3 6over4 

6over4 是 一 个 利用 IPv4 多 播 的 自动 隧道 技术 。 对 于 Oover4, IPv4 多 播 是 必 
需 的 ， 它 被 认为 是 一 个 虚拟 链 路 层 或 虚拟 以 太 网 。 从 虚拟 链 路 层 的 角度 来 看 ， 
IPv6 的 地 址 是 由 本 地 链 路 范围 前 级 标识 的 (fe80:: /10)。 一 个 主机 的 IPv4 地 址 
包括 其 IPv6 地 址 中 6over4 接口 ID 的 部 分 。 例 如 ， 一 个 IPv4 地 址 为 192. 0. 2. 85 
的 Gover4 主机 的 IPv6 接口 ID 为 :: c000: 255, KIE, 6over4 的 地 址 为 fe80:: 
c000: 255, 6over4 隧道 可 以 是 包括 主机 - 主机 、 主 机 -路 由 器 、 路 由 器 - 主机 等 类 
别 。 在 各 种 情况 中 ， 主 机 和 路 由 器 都 需要 分 别 配 置 支持 60over4 。IPv6 数据 报 在 
隧道 中 使 用 IPv4 报头 相应 的 IPv4 多 播 地 址 。 该 多 播 组 的 所 有 成 员 都 会 收 到 隧道 
的 数据 报 ， 就 像 是 在 虚拟 链 路 层 中 一 样 ， 真 正 的 接收 者 会 去 除 掉 IPv4 报头 再 对 
IPv6 数据 报 进行 处 理 。 只 要 IPv4 多 播 能 达到 至 少 一 个 支持 6over4 的 IPv6 路 由 
器 ， 该 路 由 器 就 可 以 作为 隧道 端点 然后 通过 IPv6 路 由 数据 报 。 

6over4 支持 IPv6 多 播 和 单 播 ， 所 以 主机 可 以 执行 IPV6 路 由 器 和 “邻居 查 
找 ” 去 定位 IPv6 路 由 器 。 当 隧道 传输 IPv6 多 播 的 信息 时 ， 如 “邻居 查找 ”， 
IPv4 地 址 格式 化 为 239. 192. Y.Z, P, Y, ZÆ IPv6 多 播 的 最 后 两 个 字 节 地 
址 。 因 此 ，IPv6 报 文 的 所 有 路 由 器 的 链 路 范围 的 多 播 地 址 fo2::2， 将 通过 隧道 
送 至 IPv4 目的 地 239.192.0.2, 6over4 主机 可 使 用 网 络 组 会 员 协 议 (Internet 
Group Membership Protocol, IGMP) 来 告知 IPv4 路 由 需 关 于 多 播 组 成 员 的 信息 ， 
所 以 路 由 器 能 将 多 播 数据 报 转发 给 它们 。 
3.2.2.4 隧道 代理 

隧道 代理 是 另 一 种 IPv4 网 络 上 实现 隧道 自动 管理 的 技术 。 隧 道 代理 负责 管 
理 两 类 对 象 : 一 类 是 来 自 双 栈 客户 端的 隧道 请 求 ， 一 类 是 连接 着 目的 IPv6 网 络 
的 隧道 服务 器 。 想 要 连接 至 IPv6 网 络 的 双 栈 的 客户 端 被 有 选择 性 地 导向 一 个 隧 
道 管理 的 门户 网 站 去 进行 身份 认证 ， 认 证 通过 后 便 可 以 使 用 隧道 代理 服务 。 隧 
道 代 理 也 可 能 会 自己 管理 认证 和 授权 。 客 户 端 需要 提供 自己 的 IPv4 地 址 、 自 己 
想 要 的 FQDN, IPv6 地 址 的 请 求 数 、 自 己 的 类 型 ( 主机 还 是 路 由 器 ) 等 信息 。 

一 旦 验证 通过 ， 隧 道 代 理 就 会 执行 以 下 工作 去 创建 隧道 : 
1. 分 配 和 配置 一 个 隧道 服务 器 ， 并 告知 其 客户 端的 信息 。 
2. 根据 请 求 的 地 址 数量 和 客户 端 类 型 分 配 IPv6 地 址 或 前 缀 给 客户 端 。 
3. 在 DNS 上 注册 客户 端的 FQDN, 
4. 提供 分 配 的 隧道 服务 器 和 相关 的 隧道 及 IPv6 参数 (包括 地 址 /前 绥 ， 
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DNS 名 称 ) 等 信息 给 客户 端 。 

图 3-12 所 示 的 隧道 代理 的 交互 ， 说 明了 客户 端 - 隧道 代理 的 交互 过 程 。RFC 
5572 规范 化 了 隧道 建立 协议 (Tunnel Setup Protocol, TSP) 以 促进 隧道 建立 的 过 
程 和 组 件 之 间 的 交互 。 

隧道 代理 


"PVA fay eae » 





S 


IPv6 网 络 









隧道 客户 端 
隧道 服务 器 群 
IPV4 网 络 
C aa IPv6 网 络 
隧道 客户 端 






隧道 服务 器 群 
图 3-12 ”隧道 代理 的 交互 '” 


Teredo ”实现 穿 透 采 用 NAT 防火 墙 的 隧道 技术 是 很 难 的 ， 除 非 是 经 过 各 种 复 
杂 的 设计 。Teredo 为 通过 IPv4 的 IPv6 数据 报 提 供 基于 UDP 的 NAT 穿 透 ， 可 实 
现 主机 到 主机 的 自动 隧道 功能 。Teredo 通过 使 用 附加 的 UDP 报头 ， 使 得 NAT/ 防 
火 墙 之 间 的 传送 更 加 方便 。 很 多 NAT/ 防 火 墙 设备 是 不 允许 头 字 段 为 41 (前 面 提 
到 的 IPv6 的 数据 报 的 隧道 设置 ) 的 IPv4 数据 报 传输 的 。 这 个 附加 的 UDP 报头 
掩盖 了 这 些 ， 使 得 被 封装 的 IPv6 可 以 穿 透 NAT 防火 墙 设备 ， 这 种 UDP 端口 的 转 
换 ， 大 部 分 设备 都 可 以 支持 (JILE 3-13), 

Teredo 在 RFC 4380 中 被 定义 ， 它 被 当 作 IPv6 连接 最 后 的 转换 技术 。 因 为 随 
着 6to4 及 支持 IPv6 的 防火 墙 路 由 器 的 部 署 ， 它 的 应 用 将 越 来 越 少 。 如 图 3-14 所 
示 ，Teredo 需要 以 下 部 件 : 

(1) Teredo 客户 端 

(2) Teredo 服务 器 
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IPv6 报 头 TCP/UDP 数据 


~~ 


IPv4 报 头 UDP IPv6 报 头 TCP/UDP 数据 





3-13 Teredo 隧道 添加 UDP 和 IPv4 报头 '” 


(3) Teredo 中 继 

Teredo 过 程 : Teredo 客户 端 寻找 最 接近 目标 IPv6 主机 的 Teredo 中 继 ， 并 且 确 
认 NAT 防火 墙 的 类 型 。Teredo 中 继 是 一 个 为 目标 主机 服务 的 隧道 端口 。Teredo E 
机 必须 提前 配置 好 Teredo 服务 器 的 IPv4 地 址 ， 以 有 利于 Teredo 连接 。 

为 了 检测 距离 最 近 的 Teredo 中 继 服 务 ， 需 要 发 送 一 个 IPv6 的 ping (ICMPv6 
的 Echo 请 求 ) 到 目标 主机 。Ping 被 封装 上 UDP 和 IPv4 报头 ， 发 送 至 Teredo 服 
FF tir, Teredo 服务 器 对 其 进行 解 封装 并 发 送 纯 ICMPv6 报 文 到 目的 地 。 目 的 主机 
的 响应 在 纯 IPv6 网 络 上 通过 路 由 发 送 到 最 近 的 Teredo 中 继 ， 然 后 再 返回 到 原始 
主机 。 以 这 种 方式 ， 客 户 端 凭借 响应 中 的 IPv4 和 UDP [隧道 ] 报头 判断 Teredo 中 
继 的 IPv4 地 址 和 端口 。Teredo 客户 端 通信 到 本 地 IPv6 主机 的 连接 如 图 3- 14 所 示 。 














隧道 服务 器 
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站 隧道 IPV6 网 络 
IPv6 主 机 


图 3-14 Teredo 客户 端 到 IPv6 主机 的 连接 31 








NAT 类 型 ”最 初 ，Teredo 旨 在 解决 穿 透 防火 墙 和 对 某 些 端口 设 限 的 NAT。 
RFC 6081 定义 了 Teredo 扩展 ,， 极 大 地 扩展 了 支持 穿 透 的 NAT 类 型 。 表 3-2 列 出 
了 在 REC 6081 中 Teredo 扩展 支持 的 NAT 类 型 '*]， 

表 3-2 REC 6081 中 Teredo 扩展 支持 的 NAT 类 型 
目的 地 址 的 NAT 














UPnP UPnP | 端口 保持 | 连续 端 


THEE | 地 址 受 限 | 端口 受 
BARJE | 地 址 受 限 新 口 受 限 端口 受 限 | 端口 对 称 | 端口 对 称 | 口 对 称 





端口 对 称 | 地 址 对 称 

















圆锥 形 Yes Yes Yes Yes SNS SNS SNS SNS SNS 
地 址 受 限 Yes Yes Yes Yes SNS SNS SNS SNS No 
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( 续 ) 
目的 地 址 的 NAT 
UPnP | UPnP | 端口 保持 | 连续 端 
圆锥 形 | 地 址 受 限 | 端口 受 限 | o eS 端口 对 称 | 地 址 对 称 
Ym H 受 限 Mig H 对 称 Ymi H 对 称 m) 对 称 
端口 受 限 Yes Yes Yes Yes No SNS + PP | SNS + PP No No 
UPnP SNS + 
eee Yes Yes Yes Yes No No No No 
端口 受 限 UPnP 
UPnP SNS + SNS + 
R SNS SNS No No No No No 
端口 对 称 UPnP UPnP 
端口 保持 | SNS SNS |SNS+PP| No No |SNS+PP|SNS+PP| No No 
端口 对 称 
SNS SNS SNS +SS No No No No No No 
口 对 称 
端口 对 称 SNS SNS No No No No No No No 
地 址 对 称 SNS No No No No No No No No 
其 中 : 


© Yes 为 被 初始 的 Teredo 规范 支持 (RFC 4380) 。 

e SNS 为 被 对 称 NAT 扩展 支持 。 

© SNS + UPn 为 被 对 称 NAT 扩展 文 持 和 通用 即 插 即 用 (UPnP) 的 对 称 NAT 
扩展 支持 。 

© SNS + PP 为 被 对 称 NAT 扩展 支持 和 端口 保持 对 称 NAT 扩展 支持 。 

© SNS + SS 为 被 对 称 NAT 扩展 支持 和 连续 端口 对 称 NAT 扩展 支持 。 

© No 为 不 支持 。 

要 使 用 Teredo 通信 时 ，NAT 必须 “初始 化 ”以 正确 映射 那些 在 NAT 内 的 源 
地 址 和 目的 地 址 。 为 了 完成 NAT 上 关于 内 部 主机 与 目标 主机 之 间 通 信 的 映射 ， 
Teredo 客户 端 会 发 送 一 个 气泡 数据 报到 目的 主机 。 气 泡 数 据 报 是 没有 有 效 负载 
的 IPv6 报头 ， 本 身 封 装 在 Teredo 的 隧道 IPv4/UDP 头 中 。 它 使 NAT 可 以 完成 内 
部 地 址 和 外 部 IP 地 址 映射 ， 以 及 内 部 端口 号 和 外 部 端口 号 的 映射 。 
一 般 来 说 ， 气 泡 数据 报 是 直接 从 源 Teredo 客户 端 发 送 到 目的 主机 。 但 是 ， 
如 果 目 标 主机 位 于 防火 墙 后 面 ， 气 泡 数 据 报 可 能 会 被 竺 弃 ， 因 为 这 是 不 请 自 来 
的 外 部 数据 报 。 在 这 种 情况 下 ，Teredo 客户 端 会 超时 ， 然 后 通过 Teredo 服务 器 
来 发 送气 泡 数据 报 ， 这 个 数据 报 可 以 通过 Teredo 格式 的 IPv6 目的 地 址 来 识别 ， 

这 个 IPv6 地 址 包含 了 目标 主机 的 Teredo IPv4 地 址 。 然 后 Teredo 服务 器 将 Teredo 

数据 报 通过 隧道 转发 到 目标 主机 。 主 机 有 自己 的 IPv4 地 址 ， 这 个 地 址 也 被 编码 
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在 Teredo IPv6 地 址 中 。 

如 果 目 标 主机 也 是 一 个 Teredo 客户 端 ， 它 也 将 能 接收 到 数据 报 。Teredo 客 
户 端 通过 之 前 发 送 到 Teredo 服务 器 的 ping 请 求 完 成 Teredo 客户 端的 初始 化 配 
置 。 之 后 ， 目 标 主机 会 直接 向 源 主机 响应 ， 完 成 NAT 映射 (在 目标 主机 和 源 主 
机 双边 都 完成 映射 ) 。 如 图 3-15 所 示 ， 有 两 个 Teredo 客户 端 通过 一 个 共同 的 
Teredo 中 继 通信 。 


IPv4/IPv6 网 络 









Teredo 


服务 器 






Teredo% J” ži 如 ,因特网 
Dm 
= 中 继 


IPv4/IPv6 it 
Teredo% P iit pe 
TE 


图 3-15 Teredo 客户 端 通过 IPv4 ARRE 





正如 已 经 看 到 的 ，Teredo 的 IPv6 地 址 由 客户 端 及 其 Teredo IRA ARHI IPv4 地 
址 来 生成 。 图 3-16 给 出 了 Teredo IPv6 地 址 格式 。 


0 31 32 63 64 79 80 95 96 127 


Teredo Teredo 服 务 器 IPv4 标志 ”客户 端 端口 客户 端 IPv4 





BIA (32 位 ) 地 址 (32 位 ) aet) (16 位 ) 地 址 (32 位 ) 





图 3-16 Teredo IPv6 地 址 格式 [1 


Teredo 的 前 级 是 一 个 预定 义 的 IPv6 AAR. 2001:: / 32, Teredo 服务 器 IPv4 
地 址 构成 下 一 个 32 位 。 虽然 RFC 5991 ( 即 本 书 参考 文献 [44] ) 将 原来 的 RFC 
4380 定义 的 标志 字段 重新 定义 了 ， 引 进 一 个 随机 字符 串 来 免 去 cone 位 的 设置 ， 
在 某 些 情况 下 它 仍 是 被 解释 的 。Teredo 标志 字段 格式 如 图 3-17 所 示 。 








C i 随机 位 1(4) UG 随机 位 2(8) 


图 3-17 Teredo 标志 字段 格式 


© C =cone 位 


ez= 保 留 (设置 为 0) 
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© Randoml 为 随机 位 1 

e U = 全 局 /局 部 位 (设置 为 0) 

e G = 个 人 /全 局 位 (设置 为 0) 

e Random2 为 随机 位 2 

如 果 U 和 G 位 被 置 零 ， 可 以 表明 一 个 本 地 管理 的 单 播 地 址 和 随机 位 ， 以 阻 
Ik Teredo 的 IPv6 地 址 扫描 ， 即 使 对 应 的 IPv4 地 址 是 已 知 的 (对 于 一 个 给 定 的 
IPv4 地 址 映射 ，12 个 随机 位 可 以 提供 4096 种 组 合 的 Teredo 地 址 ) 。 客 户 端 端口 
与 客户 端的 IPv4 地 址 字段 通过 反 转 每 个 位 的 值 来 表示 这 些 字段 对 应 的 含义 。 


3.2.3 IPv6 网 络 上 的 IPv4 数据 报 的 隧道 方案 


启用 IPv6 后 ， 一 些 IPv6 用 户 仍旧 需要 与 IPv4 应 用 或 IPv4 网 络 上 的 主机 进 
行 通信 ， 如 因特网 。IPv4 Over IPv6 的 隧道 技术 为 这 种 通信 提供 了 一 种 实现 方法 。 
3.2.3.1 双 栈 过 渡 机 制 

DSTM ( 双 栈 过 渡 机 制 ) 是 一 种 可 以 在 IPv6 网 络 上 将 IPv4 数据 报 传输 到 目 
的 地 IPv4 主机 的 隧道 代理 方法 ， 如 图 3- 18 所 示 。IPv6 的 主机 如 果 需 要 与 IPv4 
主机 通信 时 ， 需 要 配置 双 协 议 栈 及 DSTM 客户 端 。 在 对 一 个 目的 主机 的 主机 名 
使 用 DNS 获得 其 IPv4 时 ， 客 户 端 会 开始 启动 DSTM 进程 。 这 与 隧道 代理 技术 十 
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分 类 似 。 当 整个 进程 开始 ，DSTM 客户 端 联系 DSTM 服务 器 通过 DHCPv6 WNO 
以 获得 一 个 IPv4 地 址 ， 以 及 DSTM 网 关 的 IPv6 地 址 。IPv4 地 址 被 当 作 源 地 址 在 
数据 报 里 被 传送 。 这 个 数据 报 利 用 DSTM 客户 端 源 IPv6 地 址 和 DSTM 网 关 的 
IPv6 地 址 作为 目的 地 址 进行 封装 。 在 IPv6 报头 中 的 “下 一 头 部 ”字段 可 以 用 来 


表示 这 是 一 个 使 用 “4over6” 隧道 技术 封装 的 IPv4 分 组 。 


一 种 DSTM 的 变 体 可 以 支持 使 用 VPN 从 本 地 网 络 外 部 进行 访问 的 DSTM 客 
户 端 ， 如 在 家 工作 的 职员 。 在 这 种 情况 下 ， 假 设 DSTM 客户 端 获得 一 个 IPv6 地 
址 而 并 非 IPv4 地 址 ， 它 可 以 联络 DSTM 服务 器 以 获得 一 个 IPv4 地 址 ， 这 种 访问 
需要 认证 以 建立 DSTM 客户 端 与 DSTM 网 关 之 间 的 一 个 VPN。 
3.2.4 隧道 技术 总 结 

表 3-3 给 出 的 隧道 技术 总 结 , 
主机 能 力 / 网 络 类 型 、 目 标 地 址 解析 方式 及 网 络 类 型 等 。 
表 3-3 隧道 技术 总 结 





























说 明了 各 种 隧道 技术 的 适用 对 象 ， 














分 别 基 于 源 

























































































目标 网 络 IPv4 网 络 | IPv4 网 络 | IPvo 网 络 | IPv6 网 络 
IPv4 网 络 的 | 上 解析 成 IPw4 | 上 人 解析 成 IPv6 | 上 解析 成 IPv4 | 上 解析 成 IPv6| ”IPv6 网 络 的 
TPv4 目的 地 “| 地 址 的 双 协 议 | 地 址 的 双 协 议 | 地 址 的 双 协 议 | 地 址 的 双 协 议 |IPv6 目的 地 
源 网 络 栈 目的 地 “| 栈 目的 地 “| 栈 目 的 地 | 栈 目的 地 
IPv4 网 络 的 原生 IPv4 一 > 
" ve 原生 IPv4 原生 IPv4 N/A i N/A N/A 
IPv4 客户 端 IPv4 兼容 
Pu IPv4 网 络 — IPv4 网 络 | IPv4 网 络 上 
XxX] 22 TE — Me s M 
CO OCI 原生 IPA | BÆI | 上 主机 到 主机 ”| 上 主机 到 路 由 | 主机 到 路 由 
的 双 栈 客户 端 IPv4 兼容 
的 IPv6 * 的 IPv6* 的 IPv6 * 
原生 IPv6 一 
IPy6 网 络 | DSTM 一 原 ”DSTM 一 原 |IPv4 网 络 上 
ae DSTM 原生 IPv6 原生 IPv6 
的 双 栈 客户 端 | 生 IPv4 生 IPv4 路 由 器 到 主机 g mA 
的 IPv6 * 
IPv6 网 络 的 ee 
E AI N/A IPv4 网 络 上 | N/A 原生 IPv6 | 原生 IPv6 
IPv6 客户 端 
IPv6 * 
YE: * ”一 个 IPv6 地 址 可 以 是 原生 的 IPv6 地 址 或 一 个 6to4 、ISATAP Teredo, 6over4 或 IPv4 兼容 地 


址 ， 主 机 必须 基于 它 所 支持 





S 





虽然 DSTM RFC 草稿 ( 即 本 


但 是 DHCPv6 目前 并 不 定义 为 主动 或 通过 一 个 选项 设置 分 配 IPv4 地 址 。 

















的 技术 选择 相应 的 目标 地 址 。 





参考 文献 【45] ) 表示 DHCPv6 是 获得 一 个 IPv4 地 址 的 更 好 的 方法 ， 
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表格 中 斜体 字 部 分 表示 端 对 端 设备 的 IP 版 本 。 任 何 使 用 不 同 协议 的 中 间 网 
络 ， 必 须 或 通过 一 个 路 由 器 到 路 由 需 的 隧道 或 在 边界 处 使 用 转换 技术 进行 转换 ， 
这 一 点 将 在 之 后 的 章节 介绍 。 

表 中 其 余部 分 表示 用 到 隧道 技术 的 各 种 场景 。 符 号 “一 ”代表 一 个 转换 点 
或 者 能 将 相应 本 地 网 络 协议 转换 为 隧道 协议 〈 反 之 亦 然 ) 的 隧道 端点 。 

表 中 “N/A” 部 分 表示 无 法 通过 隧道 建立 有 效 连接 ， 然 而 ， 转 换 技 术 可 能 
用 来 弥补 这 些 缺 陷 。 这 些 将 在 以 后 讨论 。 











3.3 翻译 策略 


从 IPv4 到 IPv6 的 翻译 (反之 亦 然 ， 是 在 协议 栈 的 特定 层 中 执行 ， 典 型 层 有 
网 络 层 、 传 输 层 或 者 应 用 层 。 与 不 修改 传输 的 数据 报 而 仅 是 添加 一 到 两 个 报头 
的 隧道 技术 不 同 ， 翻 译 机 制 做 的 是 修改 。 也 就 是 说 ,将 全 报 文 在 IPv4 和 IPv6 之 
间 转 化 。 当 使 用 IPv6- only 技术 的 节点 与 使 用 IPv4-only 技术 的 节点 需要 交换 数据 
的 时 候 ， 翻 译 策 略 通常 是 不 错 的 选择 。 也 就 是 说 ， 表 3-3 中 “N/A” 部 分 需要 
用 到 翻译 策略 。 在 双 协 议 栈 的 情况 下 ， 原 生 或 者 隧道 机 制 是 更 好 的 选择 。 

在 IPv6 规范 形成 阶段 ， 早 期 发 展 的 IPv4/1Pv6 翻译 方法 已 经 被 证 明 是 不 一 臻 
的 ， 并 且 在 大 多 数 场合 是 不 安全 的 。 基 于 前 车 之 鉴 ， 一 系列 新 的 RFC 的 发 布 明 
确 了 IPv4/1Pv6 的 翻译 方法 、 寻 址 与 一 致 性 的 策略 。RFC 6144 〈 即 本 书 参 考 文献 
[46]) XT IPv4/1Pv6 翻译 的 框架 ， 并 且 明 确 了 这 种 翻译 策略 将 应 用 于 何 种 网 
络 互 连 的 环境 。 可 行 的 翻译 方法 ， 见 表 3-4。 其 中 ， 总 结 的 各 种 情况 所 对 应 使 用 
的 翻译 策略 都 是 有 指导 意义 的 。 每 种 情况 都 模拟 了 不 同 的 源 网 络 是 如 何 连接 到 
目标 网 络 的 ， 源 网 络 和 目标 网 络 可 能 是 私有 网 络 上 的 , 或 者 是 使 用 某 种 协议 的 
互联 网 络 中 的 一 台 主 机 。 




















表 3-4 可 行 的 翻译 方法 '*] 







































































情景 | 源 网 络 目的 网 络 iG HH yi 
1 IPv6 网 络 JPv4 因特网 带 DNS64 的 无 状态 翻译 可 行 
2 IPv4 因特网 IPv6 网 络 带 特 殊 网 络 前 级 的 无 状态 翻译 可 行 
3 PAREN ed Hie iu 网 络 前 缀 和 DNS 中 有 可 翻译 的 IPv4 地 址 的 有 状态 翻 
译 可 行 
4 IPv4 网 络 IPv6 因特网 翻译 不 可 行 
5 IPv6 网 络 IPv4 网 络 类 似 情 景 1， 可 行 
6 IPv4 网 络 IPv6 网 络 类 似 情 景 2， 可 行 
T IPv6 因特网 IPv4 因特网 翻译 不 可 行 
8 TPv4 因特网 IPv6 因特网 翻译 不 可 行 
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情景 4 和 8 在 整个 因特网 范围 内 都 无 法 将 一 个 IPv6 地 址 唯一 地 翻译 为 一 个 
IPv4 地 址 。 情 景 3 是 可 行 的 ， 有 能 力 将 一 个 IPv4 网 络 的 地 址 压缩 成 一 个 IPv6 地 
址 的 前 级 。 情 形 7 在 整个 因特网 地 址 空间 上 不 具有 这 种 压缩 能 力 。 


3.3.1 IP/ICMP 翻译 


既然 已 经 介绍 了 IPv4/IPv6 翻译 可 行 的 情况 ， 现 在 就 来 探讨 翻译 的 技巧 吧 。 
将 IPv4 和 IPv6 数据 报 相互 转化 的 算法 是 在 RFC 6145 中 阐述 的 IPAICMP 转换 算 
法 ， 这 个 算法 实现 了 在 主机 或 网 关上 将 发 送出 去 的 IPv6 数据 报 的 报头 转换 为 
IPv4 报头 ， 将 接收 到 的 IPv4 报头 转换 为 IPv6 的 ， 反之 亦 然 。 可 以 认为 在 主机 上 
实现 的 翻译 算法 (如 “主机 泵 ”， 将 在 后 文 进行 描述 ) 与 网 关 起 相同 作用 ， 为 了 
简化 讨论 ， 这 里 主要 考虑 网 关 如 何 进 行 翻译 。 翻 译 的 过 程 涉 及 地 址 转换 、 数 据 
IRAH, ICMP 映射 还 有 IP 报头 字段 的 转换 。 
3.3.1.1 地 址 翻译 

地 址 翻译 在 RFC 6052 ( 即 本 书 参 考 文献 [48]) 中 被 定义 ， 并 且 可 应 用 于 
任何 需要 将 IPv4 地 址 与 IPv6 地 址 相互 转换 的 实体 ， 包 括 网 关 转 换 和 DNS64 服 
务 。 语 义 上 ， 一 个 转换 IPv4 的 IPv6 地 址 (IPv4- converted IPv6 address) 是 用 一 
个 IPv6 地 址 代表 一 个 IPv4 节点 ， 而 IPv4 可 翻译 的 IPv6 地 址 (IPv4- translatable 
IPv6 address) 则 是 为 了 进行 无 状态 地 址 翻译 将 一 个 IPv6 地 址 分 配给 一 个 IPv6 节 
点 。 其 前 级 就 是 翻译 过 程 的 输出 ， 而 后 级 则 是 代表 了 一 个 预先 映射 好 的 内 髓 
IPv4 地 址 的 IPv6 地 址 。 

两 者 都 有 着 一 样 的 格式 ， 由 一 个 级 联 32 位 IPv4 地 址 的 IPv6 前 缀 组 成 ， 并 
且 大 多 数 情况 下 跟 有 后 级 。 唯 一 需要 注意 的 是 ， 为 了 与 IPv6 寻 址 兼容 ，64 ~71 
位 (ID 的 第 1 个 八 位 组 ) 被 设 为 0， 并 且 指 定 了 第 70 位 作为 “通用 /本 地 ” 
(u) 标识 位 ， 第 71 位 作为 “个 人 / 群 组 ”(g) 标志 位 ， 这 些 位 置 为 0 则 表示 本 
地 执行 的 单 播 地 址 。 根 据 不 同 IPv6 前 缀 的 长 度 ， 可 以 将 IPv4 地 址 与 “U” 字 节 
(Byte) 插入 到 图 3-19 所 示 的 位 置 上 。 


IPv6 前 缀 (32) IPv4 地 址 (32) J(8 后 缀 (56) 











IPv6 前 缀 (40) IPv4 地 址 (24) ” U(8) IIPv4(8) JA (48) 


IPv6 前 级 (48) IPv4(16) | U(8) | IPv4(16) 后 织 (40) 


IPv6 前 缀 (56) TPv4(8) U(8) IPv4 地 址 (24) 后 缀 (32) 


IPv6 前 缀 (64) IPv4 地 址 (32) 后 缀 (24) 





IP V6 Hi 2% (96) IPv4 地 址 (32) 








到 3-19 IPv4 可 翻译 和 转换 IPv4 的 IPv6 地 址 格式 
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IPv6 前 缀 的 长 度 只 能 为 图 3-19 所 示 的 取 值 : 32, 40, 48, 56, 64 和 96 位 。 
96 位 的 前 缀 已 经 被 分 配给 64: ff9b:: /96， 因 为 它 只 能 代表 唯一 的 公共 IPv4 地 
址 并 且 通 常 只 应 用 于 组 织 的 翻译 服务 。 使 用 96 位 的 前 绥 必 须 保 证 U 字 节 全 为 0。 
例如 ， 可 以 在 一 个 64 位 前 级 的 后 面 添 加 32 个 0 从 而 获得 兼容 的 96 位 前 级 。 不 
过 ， 通 常 组 织 会 从 它们 指定 的 地 址 空间 中 分 配 一 个 前 绥 专 门 用 于 表示 可 翻译 的 
IPv4 地 址 ， 前 缀 比 总 共 分 配 到 的 地 址 多 8 位 (假如 在 256 位 的 地 址 空间 分 配 到 
48 位 ， 则 使 用 56 位 的 前 级 )。 如 果 这 一 地 址 前 级 还 未 在 网 络 上 进行 通告 的 话 ， 
要 将 这 地 址 前 绥 进 行 通告 。 翻 译 网 关 需 要 进行 配置 以 便 识 别 可 翻译 的 IPv4 地 址 
AUR, IF ELK IPv6 RLP ARHI IPv4 地 址 作为 目的 地 址 转换 为 IPv4 报 文 。 

例如 ， 考 虑 一 个 IPv4 地 址 为 198. 51. 100. 49 的 主机 ， 它 可 以 通过 一 个 配置 
好 的 翻译 网 关 ， 使 用 前 绥 2001: db8: 3a01: 4f00:: /56 变 成 可 到 达 的 IPv6 地 
址 。 将 IPv4 地 址 转换 为 十 六 进 制 得 到 633 : 6431， 在 保留 U 字 节 0 位 的 前 提 下 
添加 到 前 级 ， 可 以 得 出 这 个 可 翻译 的 IPv6 地 址 2001; db8: 3a01: 4fc6: 33; 
6431 : :。 如 图 3-20 所 示 ， 这 是 左 侧 主机 的 IPv6 地 址 。 它 在 DNS 中 的 可 达 性 可 以 
是 195.51.100.49 (A 条目), 也 可 以 是 2001: db8: 3a01: 4fc6: 33; 6431:: 
(AAAA 条 目 )。 同 样 的 ， 右 侧 拥 有 IPv4 地 址 192. 0. 2. 188 的 主机 也 可 以 用 IPv4 
转换 的 IPv6 地 址 2001: db8: 3a01: 4fc0: 0: 2be:; 表示 。 通 过 分 析 IPv4 主机 
的 信息 ， 左 边 的 主机 发 送 了 指定 的 报 文 到 2001: db8: 3a01: 4fc0: 0: 2be::。 
指定 到 2001: db8: 3a01: 4f00:: /56 的 报 文 被 路 由 到 NAT64 网 关 ， 就 是 它 起 到 
了 本 章 描述 的 IP/ICMP 转换 的 功能 ， 以 及 IPv6 地 址 与 IPv4 地 址 的 相互 映射 。 如 
果 右 侧 的 主机 是 双 协 议 栈 并 且 可 通过 IPv6 直达 ， 翻 译 功 能 就 会 被 忽略 ， 该 功能 
只 有 在 没有 原生 协议 存在 的 时 候 才 会 应 用 。 


















HP 
IPv4 主机 
IPv4 地 址 =192.0.2.188 
v6 源 地 址 =2001:db8:3a01:4fc6:33:6431:: 1 v4 源 地 址 =1955110049 l 
V6 目标 地 址 =2001:db8:3a01:4fc0:0:2be:: H v4 目标 地 址 =192.0.2.188 | 











Al3-20 IP/ICMP 翻译 例子 








3.3.1.2 数据 报 分 段 

数据 报 分 段 可 以 将 一 个 大 数据 报 分 成 两 个 甚至 更 多 的 小 数据 报 ， 从 而 使 其 
通过 最 大 传输 单元 (Maximum Transmission Unit, MTU) 比 自身 长 度 小 的 中 间 网 
络 。 在 IPv4 中 ， 需 要 的 话 ， 路 由 器 可 以 起 到 数据 报 分 段 的 功能 ， 而 在 IPv6 中 ， 
数据 报 分 段 由 节点 单独 完成 ， 而 不 是 路 由 器 。IPv6 主机 在 进行 传输 前 ， 为 相应 
大 小 的 数据 报 寻 找 合适 的 最 小 MTU 路 径 。 主 机 给 目的 地 传输 数据 报 的 时 候 ， 首 
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先 假设 线路 的 MTU 与 本 地 连接 的 MTU 相等 ;如果 中 间 某 一 跳 的 MTU 比 数据 报 
小 的 话 ， 一 条 关于 “数据 报 太 大 ”的 ICMPv6 错误 信息 就 会 发 送 回 主机 ， 表 明 这 
是 一 条 无 效 连接 。 主 机 可 能 会 根据 相应 的 MTU 大 小 调整 数据 报 大 小 ; 如 果 在 传 
输 过 程 中 遇 到 更 小 的 MTU， 这 个 步骤 将 会 重复 执行 。IPv4 节点 也 可 以 通过 发 送 
所 需 的 MTU 数据 报到 目的 地 完成 MTU 路 径 发 现 ， 不 过 因为 在 IPv4 中 路 由 器 可 
能 会 自动 将 大 的 数据 报 分 段 ， 主 机 可 以 在 主 IPv4 报头 设置 “不 分 段 ” (Don’t 
Fragment DF) 位 来 禁用 数据 报 分 段 。IPv6 的 情况 也 类 似 ， 在 传输 过 程 中 ， 如 果 
数据 报 大 小 超过 了 MTU ， 检 测 到 该 情况 的 路 由 器 将 会 给 主机 发 送 一 条 “需要 分 
段 ” 的 ICMP 错误 信息 。 

当 翻译 器 接收 到 设置 了 DF 位 的 IPv4 数据 报 并 且 下 一 个 MTU (或 者 IPv6 的 
下 一 跳 收 到 “数据 报 太 大 ”的 ICMP 信息 ) 小 于 IPv4 数据 报 大 小 +20 (考虑 到 
IPv6 报头 增长 的 大 小 ) ， 一 条 “需要 分 段 ” 的 ICMP 信息 将 会 被 发 送 到 源 IPv4 地 
tk, WR DF 位 没有 被 设置 ,但 是 数据 报 大 小 超过 了 下 一 个 或 下 一 跳 的 MTU， 翻 
译 右 就 会 将 数据 报 分 段 。 如 果 数 据 报 小 于 MTU， 翻 译 器 也 可 能 根据 配置 添加 一 
个 分 段 报头 ， 仅 为 了 表明 分 段 是 允许 的 。 如 果 DF 位 被 设置 了 ， 除 非 MTU 对 于 
要 发 送 的 数据 报 足 够 大 ， 否 则 永远 不 要 添加 分 段 报头 。 

当 翻 译 器 将 接收 到 的 IPv6 数据 报 转换 为 IPv4 时 ， 它 默认 会 设置 DF 位 。 如 
果 接 下 来 接收 到 “需要 分 段 ”的 ICMP 信息 作为 回复 ， 它 就 会 进而 翻译 “数据 
报 太 大 ”的 ICMPv6 信息 并 且 把 它 发 送 回 原始 的 IPv6 主机 。 原 始 主机 不 需要 使 
用 数据 报 小 于 1280 字 节 的 最 小 IPv6 MTU, 但 是 它 会 转发 带 有 分 段 报头 的 数据 
报 ， 翻 译 器 将 会 给 每 个 传输 到 IPv4 目的 地 的 报头 设置 标识 值 。 在 这 种 情况 下 ， 
不 设置 DF 位 表明 下 一 个 IPv4 分 段 是 允许 的 。 
3.3.1.3 ICMP 翻译 

在 接 下 来 描述 的 IP 报头 翻译 过 程 中 ，IPv6 下 一 个 报头 ICMPv6 的 值 (58) 
对 应 于 IPv4 协议 中 ICMP 的 值 (1) 。 实 际 的 ICMP 报头 的 值 必须 与 接受 者 协议 的 
版 本 一 致 。 表 3-5 给 出 了 ICMPv4 到 ICMPv6 消息 类 型 的 翻译 。 


# 3-5 ICMPv4 到 ICMPv6 消息 类 型 的 翻译 























































































































ICMPv4 消息 类 型 翻译 的 ICMPv6 消息 类 型 
回 显 (8) 和 回复 (0) 回应 请 求 (128) 和 回应 答复 (129) 
ICMP 路 由 通告 /请 求 (9，10) ICMPv6 已 废弃 
时 间 戳 和 时 间 戳 回应 (13, 14) ICMPv6 已 废弃 
言 息 请 求 /回复 (15, 16) ICMPv6 已 废弃 
也 址 掩 码 请 求 / 回 复 (17，18 ) ICMPv6 已 废弃 
ICMP 消息 抛弃 
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( 续 ) 
ICMPv4 消息 类 型 翻译 的 ICMPv6 消息 类 型 
a 目的 地 不 可 达 (1), Code =0 (没有 到 
Code 0, 1 (网 络 ， 主 机 不 可 达 
eee a 达 目 的 地 的 路 由 ) 
ICMPv6 参数 问题 (4), Code = 1 (无 法 
Code 2 (协议 不 可 达 
E 识别 下 个 报头 类 型) 
g K$ KAJ (1 ode =4 (端口 不 
Code 3 《端口 不 可 达 ) 目的 地 不 可 达 (1), Code (端口 不 
可 达 ) 
数据 报 太 2) ，Code =0， 调 整 最 
Code 4 (需要 分 段 数据 报 ， 设 置 DF 位 ) es Wd 
输 单 元 
Fl 目的 地 不 可 达 (1) Code =0 (没有 到 达 
下 Code 5 (W AM 
的 目的 地 的 路 由 ) 
地 
不 Code 6, 7, 8 (未 知 目的 网 络 ， 未 知 目的 主机 ， 目的 地 不 可 达 (1) Code =0 (没有 到 达 
可 源 主 机 被 隔离 ) 目的 地 的 路 由 ) 
达 目的 地 不 可 达 (1), Code=1 (与 目的 
Code 9, 10 (与 目的 主机 /网 络 的 通信 被 禁 S 
e (与 目的 主机 /网 络 的 通信 被 禁止 ) 地 通信 被 禁止 ) 
Code 11, 12 (由 于 服务 类 型 导致 目的 网 络 /主机 目的 地 不 可 达 (1) Code =0 (没有 到 达 
不 可 达 ) 目的 地 的 路 由 ) 
目的 地 不 可 达 (1)，Code =1 (与 目的 
Code 13 (通信 被 禁止 
Om 地 通信 被 禁止) 
Code 14 (主机 越权 ) UF 
目的 地 不 可 达 (1)，Code =1 (与 目的 
Code 15 (优先 中 断 
aks 地 通信 被 禁止) 
报 源 抑制 (4) ICMPv6 已 废弃 
重 定向 (5) 抛弃 
选择 主机 地 址 (6) 抛弃 
超时 (11) 超时 (3), ， 有 相同 代码 值 
= Code =0 ( 遇 到 错误 头 字段 ) 并 且 
Code 0 (指针 显示 错误 参 
alae ge | 更 新 指针 值 或 地 弃 (HER 3-6) 
Code 1 (缺少 必要 的 选项 ) 问 抛弃 
a 题 Code =0 ( 遇 到 错误 头 字段 ) 并 且 
ode TAL jase 
(12) = (4) | 更 新 指针 值 或 抛弃 GRK 3-6) 
其 他 代码 值 或 未 知 的 ICMP v4 类 型 抛弃 


























对 于 参数 问题 的 错误 信息 ， 报 头 指 针 值 的 翻译 见 表 3-6。 


66 


IPv6 部 署 和 管理 





表 3- 


6 ICMPv4 到 ICMPv6 报头 指针 值 的 翻译 


ICMPv4 指针 值 翻译 的 ICMPv6 指针 值 





版 本 /IP 报头 长 度 (0) 


版 本 /流量 类 型 (0) 





服务 类 型 (1) 


流量 类 型 /流标 签 (1) 





总 长 度 (2, 3) 


负载 长 度 (4) 








标志 位 (4，5) ， 标 识 /分 害 
和 (10, 11) 


Wt (6, 7), RARI 
IME (6, 7), RABI Hz 





生存 时 间 (8) 


跳 数 限制 (7) 





协议 (9) 


下 一 个 报头 (6) 





源 地 址 (12 ~15) 





源 地 址 (8) 








目的 地 址 (16 ~19) 


日 的 地 址 (24) 








ICMPv6 校 验 和 的 计算 必须 在 进行 完整 的 翻译 过 程 之 后 。ICMP 错误 的 有 效 
负载 可 能 会 导致 翻译 问题 ， 特 别 是 当 其 中 包含 了 另 一 种 协议 的 IP 地址。 如果 附 
加 的 下 报头 也 是 返回 的 错误 信息 的 一 部 分 ， 翻 译 网 关 通 常会 企图 翻译 这 个 附加 





的 卫 报 文 头 。 


表 3-7 总 结 了 ICMPv6 到 ICMPv4 消息 类 型 的 翻译 。 


表 3-7 ICMPv6 到 ICMPv4 消息 类 型 的 翻译 





ICMPv6 消息 类 型 翻译 的 ICMPv4 消息 类 型 














回 显 请 求 (128) 和 回复 (129) 可 显 (8) 和 回复 (0) 




















多 播 监视 器 发 现 查 询 ， 报 告 ， 结 束 (130, 131, 132) 通常 本 地 连接 ， 抛 弃 





邻居 发 现 消息 (133 ~ 137) 





通常 本 地 连接 ， 抛 弃 





目 | Code 0 (没有 路 径 到 达 目 的 地 ) 日 | Code=1 (主机 不 可 达 ) 


























的 ie 的 | Code=10 (与 目的 网 络 /主机 的 通信 被 
地 Code 1 (与 目的 地 的 通信 被 禁止 ) 地 BD a f 

人 不 |。 Code2 (超过 源 地 址 范围 ) 不 | Code =1 (主机 不 可 达 ) 

可 可 

达 Code 3 (地 址 不 可 达 ) 达 Code =1 (主机 不 可 达 ) 

(1) Code 4 (端口 不 可 达 ) (3) Code =3 (端口 不 可 达 ) 




















目的 地 不 可 达 (3), Code =4 (需要 分 段 数 

















HAR) 据 报 ,设置 DF 位 ) 

超时 (3) 超时 (11) ， 有 相同 的 代码 
参 a ee. 参 Code =0 ( 遇 到 错误 头 字段 ) 并 且 更 新 
数 Code 0 ( 遇 到 错误 头 字 段 ) 数 | 指针 值 或 抛弃 ( 按 表 3-8) 
问 wa se soa 问 目的 地 不 可 达 (3), Code =2 (协议 不 
是 Code 1 ( 遇 到 无 法 识别 下 个 报头 类 型 ) 题 | 可 达 ) 
(4) Code 2 (过 到 无 法 识别 IPvw6 选项 ) (12) “抛弃 























其 他 代码 或 未 知 的 ICMPv6 类 型 es 
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对 于 参数 问题 的 错误 信息 ， 报 头 指针 值 的 翻译 见 表 3-8。 
表 3-8 ICMPv6 到 ICMPv4 报头 指针 值 的 翻译 


ICMPv6 指针 值 翻译 的 ICMPv4 指针 值 





版 本 /流量 类 型 (0) 版 本 /IP 报 文 头 长 度 (0) 
































流量 类 型 /流标 签 (1) 服务 类 型 (1) 
流标 签 (2，3 ) 抛弃 

负载 长 度 (4, 5) 总 长 度 (2) 
下 一 个 报头 (6) 协议 (9) 
跳 数 限 制 (7) 生存 时 间 (8) 
源 地 址 (8 ~23) 源 地 址 (12) 
目的 地 址 (24 ~39) 目的 地 址 (16) 























ICMPv4 校 验 和 的 计算 也 必须 在 进行 完整 的 翻译 过 程 之 后 。ICMP 错误 的 
有 效 负 载 可 能 会 导致 翻译 问题 ， 特 别 是 包含 了 另 一 种 协议 的 耳 地 址 。 如 果 
附加 的 IP 报头 也 是 返回 的 错误 信息 的 一 部 分 ， 翻 译 网 关 通 常会 企图 翻译 这 
个 附加 的 IP 报头， 如果 IPv6 地 址 超出 了 分 配 的 可 转换 的 IPv4 地 址 空间 ， 就 
会 无 法 实现 。 
3.3.1.4 IP 报头 翻译 

IP 报头 的 翻译 过 程 应 用 于 每 个 数据 报 以 下 字段 映射 。 双 向 翻译 的 字段 映射 
都 总 结 如 下 : 





IPv4 一 IPv6 报头 翻译 


IPv6 一 IPv4 报头 翻译 





版 本 =6 
流量 类 型 = IPv4 报头 TOS 位 数 或 翻译 器 配置 值 
流标 签 =0 


负载 长 度 =IPv4 报头 总 长 度 -(IPv4 报头 长 度 + 
IPv4 选项 长 度 ) 


下 个 报头 = IPv4 报头 协议 字段 值 [将 ICMP (1) 
改 成 ICMPv6 (58) ] 


跳 数 限制 = IPv4 生存 时 间 -1 








版 本 =4 

报头 长 度 =5 (没有 IPv4 选项 ) 

服务 类 型 = IPv6 报头 流量 类 型 字段 或 翻译 器 
配置 值 





总 长 度 = IPv6 报头 负载 长 度 + IPv4 报头 长 度 
id =0 





标识 = 不 要 分 段 =1， 更 多 分 段 =0 (除非 
IPv6 数据 报 有 一 个 分 段 的 报 文 头 表 明 人 允许 分 段 ) 

分 段位 移 =0 
生存 时 间 = IPv6 跳 数 限制 -1 

协议 = IPv6 下 个 报头 字段 ; ICMPv6 (58) 改 
成 ICMP (1) 并 且 IPv6 报头 逐 跳 (0), IPv6 路 
HH (43), IPv6 标志 ， 还 有 IPv6 选项 (60) 由 
于 不 适合 IPv4 被 舍弃 
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( 续 ) 

IPv4 一 IPv6 报头 翻译 IPv6 一 IPv4 报 文 头 翻译 
报头 校 验 和 = 通过 最 新 的 IPv4 报头 计算 

YR IP Hah = 相关 IPv6 前 级 和 源 IPv4 地 址 基础 上 源 耳 地址 = 从 了 IPv4 可 翻译 的 IPv6 地 址 推导 
的 IPv4 可 翻译 的 IPv6 地 址 的 IPv4 地 址 ， 这 个 IPv6 地 址 落 在 IPv6 可 翻译 
的 前 级 ; 或 映射 的 IPv6 地 址 ， 这 个 IPv6 地 址 基 
于 翻译 器 的 有 状态 地 址 映射 〈 绑 定 信息 库 
目的 耳 地 址 = 从 目的 TPv4 地 址 (无 状态 ) 推导 的 目的 他 地 址 = IPv4 转换 的 IPv6 目的 地 址 的 
IPv4 可 翻译 的 IPw 地 址 ; 或 映射 的 IPv6 地 址 ， 这 个 | IPv4 部 分 
IPv6 地 址 基于 翻译 器 的 有 状态 地 址 映射 ( 绑 定 信息 库 ) 选项 = 无 





























ji 
Se 





















































现在 来 看 看 一 些 利 用 了 IP/ICMP 翻译 算法 的 用 于 翻译 TP v4 和 IPv6 数据 报 的 
技术 。 
3.3.2 ELF 


主机 泵 (Bump In the Host, BIH) 是 一 种 基于 主机 的 IPv4ZIPv6 翻译 技术 ， 
让 一 台 运 行 IPv4 应 用 的 主机 可 以 与 IPv6- only 的 主机 通信 。 概 念 是 在 任何 底层 的 
IPv6 通信 的 技术 中 屏蔽 IPv4 应 用 。BIH 应 用 的 IPv4 应 用 类 别 ， 包 括 那些 使 用 
DNS 的 地 址 解析 和 不 在 应 用 协议 数据 域 中 使 用 P 地 址 的 应 用 。RFC 6535 (BAS 
书 参考 文献 [49] ) 中 指出 ，BIH 不 推荐 在 与 DNS64 的 连接 中 使 用 ， 它 会 导致 
双重 协议 转换 ， 只 有 在 原生 双 协 议 栈 或 隧道 不 能 使 用 的 时 候 推荐 使 用 。 

BIH 是 堆栈 泵 (Bump In the Stack, BIS'*!) 技术 和 API Æ (Bump In the 
API, BIA) 技术 组 合 的 继任 者 。 同 样 的 ， 它 既 可 以 像 BIS 一 样 在 网 络 层 转换 
IP 数据 报 ， 也 可 以 像 BIA 一 样 在 应 用 程序 接口 或 套 接 字 层 中 转换 。 

API (ERF) 层 策略 ， 有 两 种 架构 ， 可 二 择 其 一 ,在 IPv4 和 IPv6 的 API 
之 间 转 换 ， 或 在 应 用 和 主机 上 的 传输 层 栈 中 执行 。BIH 基于 套 接 字 的 体系 结构 
如 图 3-21 所 示 ， 由 API 转换 项 、 地 址 映射 器 、 扩 展 名 解析 器 和 函数 映射 器 组 成 。 

当 IPv4 应 用 发 送 DNS 查询 目的 主机 的 IP 地 址 时 ， 扩 展 名 解析 器 会 拦截 该 查 
询 并 且 生 成 一 个 额外 的 要 求 AAAA 记录 的 查询 。A 记录 查询 的 DNS 回复 会 提供 
给 定 的 IPv4 地 址 的 API 查询 的 答案 。 由 于 仅 有 AAAA 记录 的 解析 ， 这 使 扩展 名 
解析 器 从 地 址 映射 器 请 求 IPv4 地址。 域名 解析 器 利用 映射 的 IPv4 地 址 产生 A 记 
录 通 过 API 回复 应 用 。 地 址 映射 器 维护 IPv6 地 址 到 那些 从 私有 地 址 空间 组 成 的 
内 部 地 址 池 的 IPv4 地 址 的 映射 。 函 数 映 射 器 拦截 API eR CA DAA, 并且 匹配 
IPv4 API 调用 到 IPv6API 调用 ， 然 后 返回 IPv4 API 调用 回复 作为 结 

网 络 层 的 方法 侦查 TCPZIPv4 模块 和 连接 层 设备 (如 网 卡 ) 之 间 的 数据 流 ， 
并 且 将 IPv4 数据 报 转换 成 IPv6 格式 。BIH 网 络 层 体系 结构 如 图 3-22 所 示 。 
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TCP/IPv6 TCP/IPv4 
数据 链 路 层 
物理 层 





图 3-21 BIH 基于 套 接 字 的 体系 结构 


| 


TCP/UDP 


数据 链 路 层 


物理 层 





Al3-22 BIH 网 络 层 体系 结构 


翻译 器 组 件 根 据 前 面 描述 的 IP/ICMP 翻译 算法 ,将 IPv4 报头 转换 成 IPv6 报 
头 。 扩 展 名 解析 器 侦 听 A 记录 类 型 的 DNS 查询 ; 一旦 侦 听 到 这 样 一 个 查询 ， 扩 
展 名 解析 器 组 件 就 产生 一 个 AAAA 记录 类 型 的 查询 给 该 主机 域名 (Qname) 和 
级 别 (Qelass)。 如 果 没 有 从 AAAA 记录 查询 收 到 肯定 的 回复 ， 接 下 来 的 通信 就 
会 使 用 IPv4; 如 果 AAAA 记录 查询 被 成 功 解析 ， 扩 展 名 解析 器 就 会 命令 地 址 映 
射 絮 组 件 将 返回 的 IPv4 地 址 (A 记录 ) 和 返回 的 IPv6 地 址 (AAAA 记录 ) 关联 
起 来 。 如 果 仅 收 到 AAAA 记录 的 响应 ， 地 址 映射 器 就 会 从 私有 IPv4 地 址 的 内 部 
地 址 池 中 分 配 IPv4 地 址 。 

由 于 需要 一 个 IPv4 地 址 为 应 用 请 求 A 记录 查询 的 结果 提供 响应 。 因 此 ， 地 址 映 
射 器 维护 着 真实 或 手动 分 配 的 IPv4 地 址 与 目的 地 的 IPv6 地 址 之 间 的 对 应 关系 。 任 何 
定位 到 该 IPv4 地 址 的 数据 报 将 会 被 翻译 器 转换 成 IPv6 数据 报 通 过 IPv6 网 络 传输 。 

映射 一 个 给 定 的 IP 地 址 到 主机 域名 的 PTR 记录 请 求 可 采用 BIH 的 方式 处 
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HE, PTR 调用 /查询 会 被 拦截 检查 ， 如 果 对 应 的 TP 地 址 已 经 被 地 址 映射 器 映射 的 
话 ， 就 会 产生 一 个 对 于 对 应 IPv6 地 址 PTR 查询 ， 主 机 域名 结果 会 被 关联 到 初始 
的 请 求 。 

BIH 的 套 接 字 版 本 ， 对 DNS 查询 的 DNSSEC 验证 是 原生 支持 的 ， 这 是 因为 
套 接 字 调 用 仅 请 求解 析 的 结果 ， 并 且 验 证 是 在 解析 器 /网 络 层面 上 处 理 。 网 络 层 
上 的 支持 需要 在 扩展 名 解析 器 上 配置 密 钥 才能 保证 能 够 验证 DNSSEC 的 响应 。 

如 果 从 没有 被 地 址 映射 的 外 部 主机 发 出 的 IPv6 数据 报 被 BIH 主机 接收 ， 地 
址 映射 器 就 会 从 内 部 地 址 池 分 配 IPv4 地 址 并 且 将 IPv6 报头 转换 成 IPv4。 


3. 3.3 IPv6/IPv4 的 网 络 地 址 翻译 


RFC 6146 ( 即 本 书 参 考 文献 [52]) 中 定义 了 IPv6/1Pv4 的 网 络 地 址 翻译 
(Network Address Translation for [Pv6/IPv4, NAT64) 及 其 状态 功能 操作 。NAT64 能 
LE IPv6 主机 向 IPv4 主机 发 起 连接 ， 但 是 不 支持 反 向 建立 连接 ， 除 非 NAT64 网 关中 
已 经 配置 好 IPv4/IPv6 的 地 址 映射 。NAT64 使 用 网 络 地 址 和 端口 转换 方法 (Net- 
work Address and Port Translation, NAPT) 来 转换 IPv4 地 址 。 这 种 方法 能 通过 区 分 
TCP/UDP 端口 号 让 一 个 IPv4 地 址 映射 到 多 个 IPv6 地 址 。 例 如 ， 一 个 IPv6 地 址 为 
2001: db8:: 1、 端 口号 为 4040 的 主机 发 送 一 个 UDP/IP 数据 报 ， 可 能 会 被 NAT64 
的 网 关上 映射 到 IPv4 地 址 为 192. 0. 2. 31 、 端 口号 为 1024 ， 而 另 一 个 IPv6 主机 使 用 地 
址 2001: db8:: 2、 端 口号 3701 则 被 映射 到 地 址 192. 0.2. 31 、 端 口号 1025。 这 种 
协议 映射 信息 被 存储 在 一 个 绑 定 信息 基地 ( Binding Information Base, BIB) , 其 中 
的 三 种 协议 信息 都 是 动态 维护 的 : TCP, UDP 还 有 ICMP (ICMP 标识 符 是 关联 地 
址 而 不 是 端口 号 的 ) 。 同 样 的 三 张 会 话 表 ， 对 每 一 个 协议 都 进行 维护 ， 根 据 IPv4 或 
IPv6 的 源 或 目的 地 址 和 端口 号 追踪 每 个 对 话 。 如 图 3-23 所 示 (对 图 3-20 稍微 做 了 
些 修改 ) ， 例 中 添加 了 端口 号 ， 用 p = (port) 在 每 一 个 数据 报 中 表示 。 如 果 是 一 个 
TCP 会 话 ， 那 么 TCP BIB 就 会 包含 : 














v6 源 地 址 =2001:db8:3a01:4fc6:33:6431::p=1911 全 v4 源 地 址 =192.51.100.49 p=3931 
v6 目标 地 址 =2001:db8:3a01:4fc0:0:2bc::p=80 中 v4 目标 地 址 =192.0.2.188.p=80 





图 3-23 NAT64 协议 和 地 址 转换 





(2001 :db8 :3a01 :4fc6:33 :6431 ::,1911)<(195 :51:100:49 ,3931 ) 
并 且 TCP 会 话 也 将 会 跟踪 这 个 人 口 : 
(2001 .db8 :3a01 .4fc6 :33 :0431 S55 1911 ) 3 (2001 - db8 :3a01 :4fc0 :0.2bc 
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80)&(195 :51 :100 :49 ,3931) ,(192;0:2:188; ,80) 

因此 在 这 基础 上 ，NAT64 执行 两 个 功能 : 根据 前 面 章节 讨论 的 进行 IPAICMP 协 
议 转换 和 地 址 转换 去 映射 人 站 和 出 站 的 地 址 。 地 址 转换 需要 NAT64 网 关 维 护 两 个 地 
址 池 : 一 个 是 在 IPv6 网 络 用 IPv6 地 址 池 表 示 IPv4 地 址 ， 另 一 个 是 在 IPv4 网 络 用 
IPv4 地 址 池 表 示 IPv6 地 址 。IPv6 地 址 池 由 前面 讨论 的 IP/ICMP 转换 分 配 的 前 级 组 
成 ， 如 对 于 前 面 讨论 的 例子 为 2001; db8: 3a01: 4f00:: /56。IPv4 地 址 池 是 公有 
IPv4 地 址 的 分 配 ， 这 些 地 址 被 用 来 为 IPv6 主机 创建 IPv4 连接 ， 前 面 的 例子 则 是 
195. 51. 100. 0/24。 接 下 来 将 讨论 NAT64 和 DNS64 之 间 的 关系 。 
3.3.3.1 NAT64 和 DNS64 

正如 刚才 讨论 到 的 ，NAT64 使 用 本 章 前 面 介绍 的 IP/ICMP 翻译 手段 将 IPv6 
数据 报 翻译 为 IPv4 数据 报 ， 通 过 添加 可 选 的 有 状态 组 件 ， 可 实现 与 被 转换 的 
IPv4 地 址 无 关 的 IPv4/TPv6 映射 处 理 。 使 用 无 状态 或 者 有 状态 的 翻译 可 以 使 IPv6 
主机 与 IPv4 目的 地 通信 。 

这 个 策略 的 关键 是 DNS64 组 件 ， 它 是 一 个 特殊 的 递归 DNS。 通 常 ， 它 执行 
AAAA 记录 的 查询 并 且 传 递 IPv6 地 址 的 有 效 响 应 ; 但 是 ， 当 AAAA 记录 的 响应 
失败 的 话 ， 它 会 执行 A 记录 的 查询 ， 以 便 在 缺失 有 效 IPv6 地 址 的 时 候 ， 能 试图 
识别 出 IPv4 目的 地 址 。 如 果 一 个 有 效 的 A 资源 记录 集 被 DNS64 接收 ， 它 就 会 用 
与 前 面 描 述 过 的 IP/ICMP 翻译 算法 类 似 的 方法 表示 出 包含 IPv4 转换 的 IPv6 地 址 
的 AAAA 查询 结果 ， 并 且 发 送 到 解析 器 。DNS64 解析 过 程 如 图 3-24 所 示 。 


IPv6 主 
2001 dbs sony 


机 DNS54 受权 的 DNS NAT64 
4fc6:33:6431:: sit 服务 器 
NS 查询 :qtype=AAAADNS 栓 询 :qtype=AAAA 
qname=host.example.com lqname=host. example com | 
DNS 响 应 :NXDOMAIN| 
DNS 查询 :qtype=A 
qname=host.example.com 
DNS 响应 :192.02.188 


























DNS 响应 : 
301 T-db8:3a01:4fc0:0:2be: 
IPv6 上 建立 TCP 连 接 
源 :2011:db8:3a01:4fec6 |33:6431:: H #R:2001:db8:3a01:4fc0:0:2bc:: 配置 NAT 映 射 (BIB): 
2001:db8:3a01:4fc6:33:6431::p=1 
© 198.51.100.40 p=3931 
IPv4 FTCP 连 接 
源 :198.51.100.49 
建立 连接 目标 地 址 :192.0.2.188 | 





O 
O 


1 




















图 3-24 DNS64 解析 过 程 
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3.3.4 其 他 翻译 技术 


为 了 完整 起 见 和 某 些 历史 问题 ， 在 这 里 总 结 了 其 他 利用 网 关 的 翻译 技术 。 
3.3.4.1 带 端 口 转换 的 网 络 地 址 翻译 

顾名思义 ， 带 端口 转换 的 网 络 地 址 翻译 (Network Address Translation with 
Port Translation, NAT- PT) 24% IPv4 地 址 翻译 成 IPv6 地 址 (类 似 IPv4 NAT), 
而 且 还 有 前 面 所 说 的 协议 报头 翻译 的 功能 2。NAT- PT 设备 在 IPv6 网 络 和 IPv4 
网 络 之 间 充 当 网 关 的 角色 。 例 如 ， 可 以 能 够 使 原生 的 IPv6 设备 与 IPv4 网 络 上 的 
主机 通信 。NAT- PT 设备 维护 着 IPv4 地 址 池 ， 当 通信 发 生 的 时 候 ， 它 会 分 配 一 
个 已 有 的 IPv4 地 址 到 一 个 IPv6 地 址 上 。 图 3-25 给 出 了 NAT- PT RA (废止 
的 ) 。 由 于 REC 4966 ( 即 本 书 参 考 文献 [54]) 里 提 及 的 众多 理由 ，NAT- PT 已 
经 被 废止 并 且 不 再 部 署 使 用 了 。 







X 


IPv6 主 机 


Meee TCP/ 数据 有 


IPv6 网 络 5 
IPv4 主机 





aan WOJ 数据 有 


图 3-25 NAT-PT 部 署 (废止 的 ) 51 


3.3.4.2 带 协 议 转换 的 网 络 地 址 翻译 

带 协 议 转 换 的 网 络 地 址 翻译 (Network Address Port Translation with Protoco 
Translation, NAPT-PT) 使 得 IPv6 节点 可 以 通过 使 用 单一 的 IPv4 地 址 与 IPv4 节 
点 进行 通信 。 因 此 ，NAPT- PT 将 每 一 个 IPv6 地 址 映射 到 带 有 了 唯一 TCP 或 UDP 
端口 号 (在 相应 的 IPv4 数据 报 中 设置 ) 的 共同 IPv4 地 址 ， 而 不 是 像 图 3-25 所 
示 一 样 NAT- PT 维护 IPv6 地 址 和 IPv4 地 址 一 对 一 的 映射 关联 。 使 用 单一 共享 的 
IPv4 地 址 可 以 最 小 化 NAT- PT 的 情况 中 IPv4 地 址 池 枯 竭 的 可 能 性 ， 这 也 是 前 面 
提 到 的 NAT64 使 用 到 的 技术 。 
3.3.4.3 SOCKS IPv6/IPv4 网 关 

在 RFC 1928 ( 即 本 书 参考 文献 [55] ) 中 定义 的 SOCKS 为 应 用 穿越 防火 
墙 、 高 效应 用 代理 服务 提供 了 传输 中 介 。RFC 3089 ( 即 本 书 参考 文献 【56 ] ) 
应 用 了 SOCKS 协议 来 进行 IPv4 和 1IPv6 之 间 的 翻译 。 类 似 前 面 讨论 过 的 几 种 翻译 

















O NAT-PT 网 关 之 间 关联 所 管理 的 源 和 目标 IP 地 址 字段 除外 。 


第 3 [Pv4/IPv6 共存 技术 73 











技术 ， 这 个 方法 包括 特殊 的 DNS 处 理 , 被 称 为 “DNS 解析 委托 ”， 其 将 域名 解析 
从 解析 客户 端 委 托 到 SOCKS IPv6/IPv4 网 关 。IPv4 或 IPv6 的 应 用 可 以 在 
“SOCKS” 化 后 与 SOCKS 网 关 代 理 通信 ， 与 使 用 不 同 协议 的 主机 建立 唯一 连接 。 
0 阐明 了 配置 了 SOCKS 客户 端的 IPv6 主 
机 连接 IPv4 主机 的 情况 。 经 过 “SOCKS 化 ”的 IPv4 主机 也 可 以 通过 SOCKS 网 
关连 接 到 IPv6 主机 ， 连 接 方式 如 图 从 右 到 左 所 示 。 











的 IPv6 主 机 SOCKS 
IPv6/IPv4 网 关 
图 3-26 基本 的 SOCKS 网 关 配 置 56] 


3.3.4.4 传输 中 继 翻译 器 

传输 中 继 翻 译 吉 ( Transport Relay Translator, TRT) (97) 是 一 个 十 分 类 似 
SOCKS 的 配置 ，TRT 的 特点 是 使 用 一 个 有 状态 网 关 将 两 个 独立 连接 通过 不 同 网 
络 连 接 起 来 。TCP 和 UDP 的 连接 从 主机 开始 到 TRT 终止 ， 然 后 TRT 新 建 一 个 单 
独 的 连接 到 目的 主机 ， 并 且 这 个 连接 成 为 两 个 连接 之 间 的 中 继 。TRT 需要 一 
DNS 应 用 层 网 关 (DNS- ALG)°, DNS- ALG 起 到 DNS 代理 的 作用 。TRT 可 以 让 
IPv6 主机 与 IPv4 目的 地 址 进行 通信 。 因 此 ，DNS- ALG 的 主要 功能 是 根据 IPv6 
解析 器 的 要 求 查询 一 条 AAAA 记录 ; 如 果 记 录 被 返回 ， 回 复 将 通过 解析 器 、 数 
据 连 接 和 IPv6 连接 。 如 果 没 有 AAAA 记录 返回 ，DNS- ALG 将 会 执行 一 条 A 记录 
的 查询 ;如果 收 到 回复 ，DNS-ALG 将 会 用 包含 在 A 记录 里 面 的 IPv4 地 址 生成 一 
个 IPv6 地 址 。RFC 3142 不 仅 定义 了 TRT， 而 且 还 规定 了 使 用 前 级 必 须要 在 
C6:: /64 后 跟着 32 位 0 再 加 上 32 位 的 IPv4 地 址 。 然 而 ，INNA 并 没有 分 配 
C6:: /64 前 缀 。 因 此 ,需要 配置 一 个 本 地 前 级 ( 见 图 3-27)。 
3.3.4.5 应 用 层 网 关 

应 用 层 网 关 (Application Layer Gateway, ALG) 在 应 用 层 中 执行 协议 转换 和 
应 用 代理 功能 ， 类 似 HTTP 代理 。 客 户 端 应 用 如 果 配 置 好 服务 器 代理 的 IP 地 址 ， 
就 可 以 通过 打开 该 应 用 建立 连接 ， 如 web 浏览 器 中 的 HTTP 代理 。 如 果 是 通过 
IPv6 网 络 上 的 主机 连接 到 IPv4 网 络 的 话 ，ALG 无 论 对 于 web 还 是 特定 应 用 程序 
的 访问 都 是 相当 有 用 的 。 

















”有 时 被 称 为 “不 给 糖 就 捣蛋 的 DNS-ALG” 或 totd。 
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Jw DNS 服务 器 
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IPv6 主 机 IPv4 主机 


图 3-27 使 用 DNS- ALG 的 TRT 配置 5 


3.4 IPv6 的 应 用 支持 





实际 上 ，TCPZP 应 用 的 应 用 程序 接口 (Application Programming Interface, 
API) 是 套 接 字 接 口 ， 它 最 早 是 在 BSD UNIX 系统 上 实现 的 。 套 接 字 定 义 了 程 
序 调用 让 应 用 通过 TCP/IP 层 的 接口 在 IP 网 络 上 交换 信息 。 微 软 的 Winsock API 
也 是 以 套 接 字 为 基础 的 。 为 了 支持 IPv6 更 大 的 地 址 空间 和 附加 特性 ，sockets 和 
Winsock 接口 都 已 经 过 修改 了 。 事 实 上 ， 大 部 分 主流 的 操作 系统 都 已 经 实现 了 对 
sockets 或 者 Winsock 的 支持 ， 包 括 微软 Windows (XP SP1, Vista, 7, Server 2003 
& 2008 ) Solaris (8 + ) Linux (kernel 2.4 +). Mac OS (X.10.2)、AIX 
(4.3 +) U HP-UX (11i with upgrade) 操作 系统 。 

更 新 后 的 套 接 字 接 口 不 仅 支 持 Pv4 和 IPv6， 而 且 通 过 使 用 IPv4 映射 的 TP v6 
地 址 实现 了 IPv6 应 用 与 IPv4 应 用 的 交互 操作 。 检 查 应 用 厂商 对 IPv6 WAEREA 
要 求 ， 如 果 你 的 程序 使 用 的 是 没 经 过 更 新 的 套 接 字 的 程序 调用 ， 如 gethost- 
byname ( ) ， 那 就 说 明 你 必须 要 对 这 部 分 的 应 用 进行 更 新 了 。 更 多 的 细节 可 以 参 
考 本 书 参 考 文献 [58] 给 出 的 应 用 程序 开发 者 经 验 。 





3.5 服务 提供 商 的 IPv4/IPvw6 共存 ” 








服务 提供 商 ， 特 别 是 家 庭 宽带 服务 提供 商 ， 可 以 在 它们 已 有 的 网 络 上 实现 
IPv6 并 最 终 给 客户 分 配 IPv6 地 址 。 然 而 ， 它 们 的 网 络 一 般 来 说 比 企业 网 络 更 为 
复杂 ， 企 业 网 络 可 以 大 致 分 为 企业 内 部 网 络 域 和 外 部 面向 因特网 的 公共 域 。 站 
在 同一 个 高 度 ， 也 许 从 简化 的 网 络 视图 可 以 发 现 ， 服 务 提供 商 给 这 个 两 域 模型 








O ”该 部 分 内 容 是 基于 本 书 参考 文献 [59 ] 。 
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增加 了 第 三 个 域 ， 即 客户 接 入 网 络 。 增 加 这 第 三 个 域 需要 利用 一 个 包含 一 个 或 
多 个 到 本 章 为 止 所 讨论 过 的 技术 的 IPv6 部 署 方法 。 

用 户 驻 地 设备 (Customer Premises Equipment, CPE), 通常 是 一 个 路 由 器 、 
电缆 调制 解 调 器 、 光 纤 终 端 单元 或 无 线路 由 设备 ， 这 些 使 服务 提供 商 的 接 入 链 
路 终止 的 这 一 类 设备 ， 被 称 为 用 户 边缘 (Customer Edge, CE) 路 由 器 。CE 路 由 
器 通过 提供 商 边 缘 (Provider Edge, PE) 路 由 顺 将 所 有 客户 发 送 的 IP 数据 报 转 
发 到 服务 商 网 络 。PE 路 由 器 是 服务 提供 商 网 络 连接 终止 的 一 端 。PE 路 由 器 会 将 
数据 报 路 由 到 其 他 面向 用 户 的 PE 路 由 器 ， 或 直接 路 由 到 因特网 ， 或 通过 服务 提 
供 商 的 核心 或 骨干 路 由 带 转 发 《也 被 称 为 提供 商 或 P 路 由 絮 )。 
相反 ，PE 路 由 器 ， 将 因特网 或 其 他 商业 网 络 应 用 产生 的 服务 流量 ， 从 提供 
商 网 络 ， 以 输入 流量 路 由 到 用 户 站 点 。 服 务 提供 商 的 “核心 ”网 络 由 在 其 自身 
及 PE 路 由 器 之 间 路 由 ， 数 据 报 的 骨干 路 由 器 组 成 。 服 务 提供 商 一 般 为 CE 设备 
面向 服务 提供 商 的 网 络 接口 提供 IP 地 址 。 对 于 商业 应 用 ，CE 路 由 器 是 在 相应 的 
客户 网 站 中 到 其 他 一 些 网 络 的 接口 ; 而 对 于 家 庭 型 应 用 ，CE 设备 有 时 是 一 个 
DHCP 服务 器 ， 为 相对 较 少 数量 的 主机 提供 IP 地 址 。 


3.5.1 参考 架构 


在 服务 提供 商 的 网 络 中 ，IP 数据 报 可 以 通过 各 种 基本 服务 ， 如 MPLS, RA 
被 路 由 到 目的 地 。 对 于 需要 通过 公共 网 络 来 进行 访问 的 目的 地 址 ， 目 的 主机 应 
该 能 够 通过 IPv4 地 址 (通过 “IPv4 因特网 ”) 或 IPv6 地 址 (通过 “TIPv6 因 特 
网 ”) 或 以 上 两 者 来 进行 访问 。 尽 管 这 里 将 其 说 明 为 两 个 逻辑 上 独立 的 网 络 ， 根 
据 所 使 用 IP 路 由 的 版 本 来 区 分 ， 但 在 物理 上 这 是 同一 个 网 络 。 连 接 到 一 个 或 两 
个 这 样 的 “因特网 ”取决 于 服务 提供 商 的 能 力 及 路 由 通告 在 IPv4 、IPv6 或 两 者 
上 同时 被 支持 情况 〈 见 图 3-28) 。 
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图 3-28 基本 三 层 架 构 : 客户 网 络 / 服 务 提供 商 网 络 / 目 的 网 络 


下 面 将 对 基本 三 层 架 构 中 的 每 一 层 来 考虑 IPv6 的 部 署 : 
e 用 户 网 络 。 取 决 于 服务 提供 商 对 用 户 是 否 支 持 IPv4 、IPv6 或 两 者 都 支持 。 
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o 服务 提供 商 网 络 。 服 务 提 供 商 网 络 的 边缘 设备 及 “核心 ”设备 ， 将 用 户 
与 因特网 相互 连接 。 

e 目的 网 络 。 取 决 于 目的 网 站 、 电 子 邮 件 服务 器 等 的 能 力 ， 可 达 性 可 能 需要 
文 持 一 个 或 两 个 IP 版 本 


3.5.2 部 署 方法 概述 


服务 提供 商 通常 控制 它们 的 网 络 ， 在 大 多 数 情况 下 是 控制 如 何 将 IP 地 址 分 
配给 CE 设备 中 面向 服务 提供 商 的 接口 。 客 户 可 以 自行 实现 任 一 卫 版 本 ， 尽 管 
它们 通过 特定 IP 版 本 的 连接 能 力 ， 在 一 定 程度 上 取决 于 预期 目的 地 对 协议 版 本 
的 支持 和 服务 提供 商 对 传输 的 支持 。 表 3-9 列 出 了 基于 所 支持 的 协议 版 本 的 基本 
部 署 选项 ， 其 中 总 结 了 在 这 个 简单 的 三 层 架 构 中 每 层 使 用 不 同 IP 版 本 时 的 可 用 
连接 选项 。 














表 3-9 基于 所 支持 的 协议 版 本 的 基本 部 署 选项 
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表 中 上 四 行 说 明了 一 个 维护 IPv4 网 络 (至 少 是 暂时 的 ) 的 服务 提供 商 的 
连接 选项 。 例 如 ， 表 的 第 一 行 突 出 反映 了 当今 主流 传输 方案 的 端 到 端 IPv4 连 
接 。 为 了 支持 在 接 下 来 三 行 所 列举 的 方案 ， 就 需要 实现 某 种 形式 的 IPv6 兼容 。 
在 第 二 行 及 第 三 行 所 列举 的 情况 下 ， 为 支持 Pv 客户 与 IPv6 目的 地 的 通信 或 
相反 方向 的 通信 ， 需 要 部 署 双 协 议 栈 。 第 四 行 表 明 通 过 服务 提供 商 的 IPv4 网 
络 连接 两 个 IPv6 端点 。 很 多 种 部 署 方法 可 以 解决 这 种 情形 ， 包 括 双 协议 栈 、 
端 到 端 配置 隧道 (如 各 种 VPN), 6rd; 或 如 果 使 用 MPLS 的 话 ，6PE 及 6VPE 
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也 能 胜任 。 

表 中 下 四 行 说 明 一 种 IPv6 的 服务 提供 商 的 实现 及 支持 多 种 连接 类 型 的 能 
或 要 求 。 当 然 ， 服 务 提供 商 可 以 在 一 次 阶段 性 的 IPv6 部 署 期 间 实 现 多 种 技术 ， 
如 根据 市 场 或 地 理 位 置 进 行 分 阶段 实施 。 

从 表 中 可 以 清晰 地 看 到 ， 双 协议 栈 支 持 所 有 的 组 合 方案 ,尽管 其 需要 完备 
的 IPv4ZIPvw6 地 址 分 配方 案 ， 以 及 要 求 PE 设备 或 所 有 的 服务 提供 商 路 由 器 部 署 
双 协 议 栈 。 应 当 注意 的 是 ， 当 面向 互联 网 配置 双 协议 栈 或 其 他 部 署 方法 同时 支 
持 两 个 版 本 的 协议 时 ， 边 界 路 由 器 必须 配置 为 对 IPv4 及 IPv6 路 由 路 径 进 行 
通告 。 


3.5.3 路 由 基础 设施 的 部 署 方法 


本 节 对 每 种 实施 策略 进行 概述 。 一 般 不 会 通过 配置 隧道 选项 来 解决 问 
题 ， 因 为 这 意味 着 要 一 个 事先 配置 好 VPN ， 或 一 个 穿越 服务 提供 商 网 络 而 不 
由 服务 提供 商 直 接 参 与 的 连接 客户 和 目的 网 络 主机 的 隧道 。 自 动 隧道 或 “ 软 
线 (softwires) ”是 快速 创建 的 隧道 ,下面 将 看 到 它 是 几 种 部 署 方法 的 核心 
部 件 。 
3.5.3.1 NAT444 

NAT444'" 在 技术 上 来 说 并 不 是 一 种 IPv6 实现 策略 。 但 是 NAT444 作为 一 种 
为 延长 IPv4 生命 周期 “争取 时 间 ” 的 方法 ， 其 目的 是 为 了 部 署 IPv6 形式 的 补充 
地 址 空间 。NAT444 拥有 可 以 作为 大 型 (“运营 商 级 别 ”) IPv4- IPv4 网 络 地 址 转 
换 网 关 (LSN NAT44) 的 特点 ， 这 个 特点 使 多 个 用 户 共 享 一 个 公共 IPv4 地 址 。 
NAT444 有 不 需要 更 换 现存 的 IPv4 网 络 用 户 端 设备 的 好 处 ， 尽 管 需要 付出 限制 用 

会 话 数量 (可 能 会 被 如 AJAX, RSS 订阅 等 应 用 所 需要 ) ， 用 户 端 设备 位 置信 
息 的 丢失 (E911), KEWELL 的 代价 〈 见 图 3-29) 。 























IPv4 因 特 网 


~ T9851.11.5 
LSN NAT44 






IPv4 主机 
192.0.2.21 


V4 源 地 址 =192.168.1.5 V4 源 地 址 =10.189.234.13 v4 源 地 址 =198.51.11.5 


v4 目标 地 址 =192.0.2.21 v4 目标 地 址 =192.0.2.21 v4 目标 地 址 =192.0.2.21 





图 3-29 NAT444 体系 结构 





图 3-29 所 示 的 NAT444 体系 结构 ， 显 示 了 在 数据 通路 中 使 用 了 两 个 NAT 的 
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情况 : 第 一 个 在 用 户 端 设 备 中 ， 将 家 庭 网 络 中 的 IPv4 地 址 空间 转换 为 服务 提供 
商 提供 的 私人 地 址 空间 ; 第 二 个 为 NAT， 即 LSN NAT44 ， 将 用 户 的 客户 端 地 址 
转换 为 一 个 公共 IPv4 地 址 。 不 同 的 端口 号 用 来 在 同一 个 或 多 个 终端 用 户 中 区 分 
不 同 的 会 话 。 术 语 “NAT444” 是 对 使 用 两 个 IPv4-IPv4 NAT 的 描述 ，NAT444 实 
际 是 转换 三 个 IPv4 地 址 空间 (用 户 私人 地 址 、 服 务 提供 商 接 入 地 址 和 公用 网 
络 ) 的 了 PP 地 址 。 
3.5.3.2 Windy 

如 前 所 述 ， 双 协议 栈 的 实现 需要 对 每 个 基础 设施 设备 (或 至 少 是 路 由 设备 ， 
也 可 能 是 设备 接口 ) 进行 IPv4 地 址 及 IPv6 地 址 的 配置 。 不 管 相应 的 服务 提供 商 
所 支持 的 协议 是 IPv4 还 是 IPv6， 支 持 双 协 议 栈 用 户 端 设备 都 可 以 高 效 运行 ， 然 
而 端 到 端的 连接 则 要 求 在 服务 提供 商 网 络 与 相应 的 目的 网 络 之 间 的 协议 连续 性 。 

服务 提供 商 网 络 中 对 双 协 议 栈 的 支持 可 能 是 完全 部 署 整 个 网 络 或 只 在 网 络 
“边缘 ”部 署 。 例 如 ，PE 路 由 器 可 以 实现 双 协 议 栈 来 启用 对 IPv4 和 IPv6 用 户 的 
支持 ， 而 面向 因特网 的 端口 则 使 用 目的 网 络 的 卫 版 本 建立 连接 ( 见 图 3-30) 。 
然而 ， 如 果 没 有 在 与 PE 路 由 器 互联 的 骨干 路 由 器 上 实现 完全 的 双 协 议 栈 部 署 的 
话 ， 则 需要 PE 之 间 的 隧道 来 传输 未 获 实现 的 IP 版 本 的 流量 。 这 个 实现 方法 将 
在 下 一 小 节 “MPLS 上 的 IPv6 部 署 ” 中 说 明 。 
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IPv6 主 机 
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图 3-30” 双 协议 栈 体 系 结构 


3.5.3.3 MPLS 上 的 IPv6 

有 几 种 在 MPLS 上 实现 IPv6 的 方法 ,包括 对 原生 IPv6 的 支持 ,但 是 最 常见 
的 过 渡 时 期 方法 有 在 MPLS 上 的 IPv6 PE (6PE) 或 在 MPLS 上 的 IPv6 VPN PE 
(6VPE) (ILEI 3-31), 6PE 体系 架构 ' 支持 使 用 IPv4 的 核心 路 由 器 和 实现 双 协 
议 栈 的 PE 路 由 器 ; 这 种 方法 可 以 作为 完全 实现 双 协 议 栈 或 IPv6 部 署 的 中 间 
步骤 。 

双 协 议 栈 PE 路 由 器 通过 在 IPv4 上 的 多 协议 边界 网 关 协 议 ( Multi- Protocol 
Border Gateway Protocol, MP-BGP) 来 传达 其 面向 核心 IPv4 网 络 的 IPv6 地 址 可 达 
性 。 这 将 使 得 入 口 OPE 路 由 需 能 够 识别 出 口 6PE 路 由 的 IPv4 地址、 识别 标签 交 
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换 路 径 (Label Switch Path, LSP) 和 相关 联 的 IPv4 标签 ， 从 而 使 得 标签 交换 能 
gic SF IPv4 路 由 器 达到 出 口 6PE 路 由 器 。 这 种 技术 需要 使 用 一 个 IPv6 标签 
和 一 个 外 部 IPv4 标签 ， 但 必须 预先 定义 IPv6 over IPv4 隧道 。 
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图 3-31 6PE 体系 结构 


6VPE' 1 架构 与 OPE 是 高 度 相 似 的 ， 不同 在 于 6VPE 使 用 IPv6 over IPv4 的 
“VPN 隧道 ”来 穿 透 核心 网 络 。 相 对 于 6PE ，6VPE 可 以 提供 更 好 的 隐私 保护 和 
地 址 空间 复 用 。6VPE 将 给 定 的 客户 VPN 与 PE 设备 中 的 一 个 或 多 个 VPN 路 由 和 
转发 (VPN Routing and Forwarding, VRF) 表 项 相关 联 。PE 路 由 需 会 将 用 户 网 
络 的 物理 链 路 信息 ( 可 能 是 第 2 层 的 报头 信息 ) 与 VRF 表 中 对 应 的 VPN 关联 在 
一 起 。 

每 个 CE 设备 向 其 相连 的 PE 路 由 器 发 送 路 由 通告 (相应 网 站 的 可 达 性 ) 。 
MPLS 标签 会 被 分 配给 VPN (通过 VPN、CE 设备 或 者 路 由 来 分 配 ) ， 当 MP- BGP 
路 由 信息 在 服务 提供 商 网 络 中 面向 用 户 网 络 (VPN) 的 PE 路 由 器 之 间 分 发 的 时 
候 ， 这 个 MPLS 标签 也 会 在 路 由 路 径 上 被 传递 。IPv6 路 由 路 径 在 VPNv6 地 址 族 
中 的 MP- BGP 信息 中 承载 ， 其 中 的 下 一 跳 可 达 性 信息 被 配置 为 IPv4 映射 的 IPv6 
地 址 [::ff: <ipv4 地 址 > ] 。 由 于 骨干 网 只 使 用 IPv4， 按 照 BOP 要 求 下 一 跳 地 
址 应 当 是 在 同一 地 址 族 内 ， 因 此 下 一 跳 地 址 也 是 一 个 IPv4 地 址 。 当 IPv4 分 组 从 
一 个 CE 路 由 器 到 达 一 个 PE 接口 时 ，PE 路 由 器 从 VRF 表 中 确定 VPN， 然 后 使 
用 相应 的 标签 将 分 组 转换 到 适当 的 PE 设备 并 最 终 到 底 目 的 地 。 
3.5.3.4 6rd (IPv6 快速 部 署 ) 

RFC 5569 ( 即 本 书 人 参考 文献 [64]) 将 “在 IPv4 基础 设施 上 快速 部 署 IPv6 
(6rd) ”定义 为 一 种 在 维持 IPv4 基础 设施 的 情况 下 使 服务 提供 商 能 够 给 终端 客户 
实现 IPv6 连接 和 提供 IPv6 地 址 的 技术 。RFC 5969 ( 即 本 书 参 考 文献 【65] ) 为 
6rd 协议 作出 了 规范 。 这 种 方法 要 求 通过 一 个 改进 过 的 6to4 技术 将 客户 的 IPv6 
数据 流量 从 客户 端 通过 “ 软 线 隧道 ” ( softwire tunneling) 送 达 至 一 个 IPv6 目的 
地 。 这 个 改进 要 求 用 服务 提供 商 的 IPv6 前 级 (/32) 代替 6to4 MATAR, FART 
依靠 松散 维护 的 6to4 任 播 中 继 ， 使 用 2002 : : /16 提供 了 一 个 更 好 的 双向 控制 。 
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就 像 6to4 那样 ，6rd AY IPv6 前 级 后 的 32 位 由 6to4 网 关 的 IPv4 地 址 组 成 ， 在 
前 文 这 种 情况 下 是 客户 端 宽带 路 由 的 地 址 。 因 此 ，6to4 的 前 级 定义 为 2002: 132 
位 的 IPv4 地 址 | :: /48, ， 而 6rd 的 前 缀 定义 为 132 位 的 服务 提供 商 IPv6 前 绥 } : 
132 位 的 IPv4 地 址 } :: /64。 

这 使 得 服务 提供 商 可 以 给 每 个 客户 提供 一 个 包含 一 个 单一 的 IPv6 子 网 的 /64 
地 址 块 。 因 此 ,一 个 拥有 RIR 分 配 的 2001: db8:: /32 IPv6 地 址 块 的 服务 提供 
商 ， 它 可 以 给 拥有 IPv4 地 址 为 192. 0.2. 130 的 客户 网 关 设 备 提供 一 个 2001: 
db8 : c000: 282:: /64 的 6rd 子 网 地 址 ， 如 图 3-32 所 示 。 
路 由 表 


目标 :2001:db9:0:e2::/64 
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v6 目的 地 址 =2001:db9:0:e2::e7 


图 3-32 6rd BAX 


家 庭 设备 所 需要 的 IPv6 地 址 将 从 这 个 子 网 中 分 配 得 到 。 例 如 ， 如 图 3-32 
BRAS, 一 台 计 算 机 被 分 配 了 IPv6 地 址 2001: db8: c000: 282:: 9a, 6rd 客户 网 
关 通 过 隧道 将 从 IPv4 产生 的 IPv6 分 组 传输 到 Ord 网 关 〈 中 继 路 由 器 ) 6rd 与 
6to4 的 另 一 个 与 地 址 有 关 的 差异 是 ，6to4 的 任 播 地 址 是 固定 的 〈192. 88. 99. 1 ) ， 
而 Ord 的 任 播 地 址 是 由 服务 提供 商 根据 自己 的 地 址 空间 所 定义 的 。 必 须 给 每 个 客 
户 路 由 器 提供 6rd 中 继 代理 或 任 播 地 址 。 

6rd 的 中 继 路 由 需 终 止 IPv4 隧道 的 传输 ， 然 后 将 IPv6 分 组 路 由 到 其 目的 地 。 
使 用 服务 提供 商 的 前 级 ， 可 使 得 6rd 可 达 目 的 地 址 能 够 随同 服务 提供 商 的 本 地 
IPv6 流量 一 同 被 通告 。 
3.5.3.5 4over6 

4over6 方法 ,在 RFC 5747 ( 即 本 书 参考 文献 [67] ) 中 被 规范 ， 是 一 种 为 
了 使 IPv4 用 户 通 过 一 个 IPv6 网 络 到 达 IPv4 目的 地 的 自动 隧道 方法 (如 soft- 
wire) 。 作 为 一 种 与 6PE 相反 的 方法 ，4over6 面 对 的 是 IPv6 核心 的 骨干 路 由 器 ， 
它 对 原生 IPv6 流量 进行 路 由 ， 对 IPv4 数据 报 则 通过 隧道 传输 。 一 个 拥有 IPv4 地 
址 空间 的 用 户 可 以 使 用 这 种 技术 与 IPv4 目的 地 进行 通信 。 
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每 个 CE 路 由 器 对 其 相连 的 PE 路 由 器 提供 路 由 更 新 。PE 路 由 器 使 用 MP- 
BGP 来 传递 4over6 路 由 信息 ， 并 对 网 络 流量 进行 相应 的 路 由 选择 。 就 图 3-33 所 
示 而 言 ， 当 目的 地 CE 设备 (没有 在 图 中 标 出 ) 向 192. 0. 2.0/24 通告 其 可 达 性 
时 ， 图 中 左 侧 的 CE 设备 也 向 198. 51. 100. 0/24 通告 可 达 性 。 通 信和 双方 的 PE 路 
由 器 都 使 用 MP- BGP 来 传达 可 达 性 。 当 一 个 分 组 到 达 在 图 中 左边 的 PE 路 由 器 
时 ， 其 到 达 目 的 地 的 路 由 路 径 被 标识 。 而 且 ， 为 了 经 由 IPv6 核心 (P) BRA at 
路 由 ， 该 分 组 需要 使 用 IPv6 报头 封装 起 来 。 当 出 口 的 PE 路 由 器 收 到 IPv6 分 组 
时 ， 这 个 PE 路 由 器 对 分 组 进行 解 封装 ( 移 除 IPv6 报头 ) ， 然 后 通过 CE 路 由 器 
将 原来 的 IPv4 分 组 路 由 到 其 目的 地 。 












IPv4 主 机 CE 设备 PE IPv4/ 


192.51.100.5 IPv6 
设备 


00.5 V6 源 地 二 =2001:db8&iai1 1 VAY SESE =198.51.100.5 


IPv6 骨 干 路 由 器 





va 8.51.1 
v4 目 的 地 二 an 0.2.21 1V6 H 的 地 址 =2001:db8::a:21 v4 目的 地 址 =192.0.2.21 








图 3-33 4over6 实例 


当前 的 4over6 架构 只 支持 单个 自治 系统 (Autonomous System, AS), lL, 
对 多 客户 私人 网 络 的 支持 是 有 限 的， 但 是 对 多 AS 的 支持 是 未 来 研究 的 方向 。 
3.5.3.6 轻型 双 栈 

是 一 种 使 得 服务 提供 商 能 够 在 其 网 络 中 部 署 IPv6 的 技术 ， 同 时 

能 使 得 对 分 配给 用 户 网 络 设备 的 IPv4 地 址 的 长 期 支持 与 有 效 利 用 变 得 容易 。 

商 通常 为 客户 路 由 器 或 网 关 这 类 接口 直接 指向 宽带 接 和 人 网 络 的 设备 分 
配 IP 地 址 。 客 户 网 关 在 给 家 庭 网 络 中 的 IP 设备 分 配 IP 地 址 时 起 到 DHCP 服务 
器 的 功能 。 这 里 假设 这 样 的 家 庭 网 络 设备 将 在 相当 长 的 一 段 时 间 内 只 支持 IPv4。 

实现 轻型 双 栈 需要 包含 以 下 组 件 : 

o 基本 桥接 宽带 ( Basic ens Broad Band, B4) 部 件 。 将 IPv4 家 庭 网 络 
与 IPv6 网 络 桥接 起 来 B4 功能 可 能 局 限于 客户 网 关 设 备 内 或 服务 提供 商 网 
络 内 。 

。 软 线 IPv4-in-IPv6 隧道 。 在 IPv6 上 将 IPv4 流量 在 B4 与 地 址 族 转换 路 由 
(Address Family Translation Router, AFTR) 之 间 用 隧道 传输 。 

e AFTR, FI B4 部 件 一 样 作为 IPv4- in- IPv6 软 线 隧道 的 终止 点 ， 也 执行 
IPv4-IPv4 NAT 功能 。 

图 3-34 所 示 的 轻型 双 栈 体系 架构 ， 说 明了 在 一 个 端 到 端 IP 连接 中 ， 
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NAT W i 
0.1.0.2: 10003€ # 2001 :db8::a:1 
© 198.51.100.5:5000 














SJ 
IPv4 主 机 
10.1.0.2 


IPv4 主 机 
192.0.2.21 


v4 源 地 址 =10.1.0.2:1000 v4 源 地 址 =198.51.100.5:5000 
v4 目的 地 址 =192.0.2.21:80| v4 目的 地 址 =192.0.2.21:80 





v4 源 地 址 =10.1.0.2:1000 
v4 目的 地 址 =192.0.2.21:80 


13-34 ”轻型 双 栈 体系 架构 '%] 


组 成 部 件 之 间 的 相互 关系 。 从 图 中 左 侧 开始 ，IPv4 主机 通过 客户 网 关 的 DHCP 
服务 器 功能 获取 IPv4 地 址 10. 1.0.2。 假设 这 个 IPv4 主机 想 要 连接 到 一 个 IP 地 
址 被 解析 为 192. 0. 2. 21 的 网 站 上 。 例 如 ， 这 个 IPv4 主机 生成 一 个 IP 数据 报 ， 
其 源 地 址 为 10.1.0.2、 目 的 端口 号 为 1000， 目 的 地 址 为 192. 0.2.21、 目 的 端口 
号 为 80。 这 个 主机 将 该 分 组 传输 到 其 默认 路 由 ， 即 CE 网 关 。 

图 中 的 客户 网 关 包含 了 B4 部 件 ， 如 果 尚 未 建立 IPv4- in- IPv6 的 “ 软 线 隧 
道 ”，B4 会 建立 隧道 。 客 户 网 关 的 WAN 端口 (面向 服务 提供 商 ) 已 经 被 分 配 了 
一 个 IPv6 地 址 ， 且 在 这 个 连接 上 隧道 已 经 被 建立 起 来 。 客 户 网 关 已 经 手动 或 者 
通过 DHCPv6 配置 了 AFTR IPv6 地 址 。 如 图 3-34 所 示 ，B4 部 件 将 原本 的 IPv4 分 
组 用 一 个 IPv6 报头 封装 起 来 ， 然 后 将 其 传送 到 AFTR, 

AFTR 终止 隧道 并 删 掉 IPv6 GBB, AFTR 随后 行使 IPv4- IPv4 NAT 的 功能 。 
这 需要 将 原本 分 组 的 私人 (REC 1918) IPv4 源 地 址 转化 为 公共 的 IPv4 地 址 。 
此 ， 在 这 种 情况 下 ， 服 务 提供 商 必须 为 发 往 IPv4 目的 地 分 组 的 源 IP 地 址 ， 提 供 
一 个 公共 IPv4 地 址 池 。 这 公共 地 址 池 使 得 服务 供应 商 能 够 更 有 效 地 利用 日 益 稀 
缺 的 公共 IPv4 地 址 空间 。AFTR 一 般 也 进行 端口 转换 ， 且 为 了 双向 正确 映射 
IPv4 地 址 和 端口 号 ， 必 须 为 每 个 NAT 操作 追踪 这 些 映射 。 

图 3-34 "A, AFTR 将 客户 的 源 IPv4 地 址 及 端口 从 10. 1. 0.2: 1000 映射 为 
198. 51. 100. 5; 5000。 客 户 一 般 使 用 私人 地 址 空间 ， 这 可 能 会 发 生地 址 重合 的 现 
象 ， 因 此 NAT 映射 表 也 追踪 分 组 源 自 的 隧道 。 包含 IPv4 地 址 及 端口 号 为 
198. 51. 100.5; 5000 的 数据 报 最 终 被 传送 到 目的 主机 。 去 往 这 个 地 址 /端口 的 返 
回 分 组 被 映射 为 目的 地 址 为 10.1.0.2: 1000， 且 通过 隧道 传输 到 2001: db8 : : 
a: 1, 

部 署 IPv6 或 双 协 议 栈 主 机 的 客户 可 以 通过 在 客户 网 关中 实现 的 DHCPv6 功 
能 或 自动 配置 获得 IPv6 地 址 。 从 家 庭 网 络 传输 到 客户 网 关 的 IPv6 分 组 不 会 使 用 
“ 软 线 障 道 ” ， 而 会 被 本 地 服务 提供 商 的 IPv6 接 入 网 络 进行 路 由 和 传输 。 
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3.5.3.7 NAT64/DNS64 

正如 本 章 前 面 详细 讨论 过 的 ，NAT64/DNS64 解决 方案 使 得 IPv6 主机 与 IPv4 
目的 地 之 间 的 通信 变 得 简单 。 对 服务 提供 商 而 言 ， 这 种 方法 可 用 在 当 客 户 端 设 
备 只 支持 IPv6 的 情况 ， 因 为 这 允许 客户 能 与 仍 将 存在 相当 长 的 一 段 时 间 的 IPv4 
因特网 进行 通信 。 从 服务 提供 商 的 角度 来 看 ， 其 基本 架构 如 图 3-35 所 示 。 一 个 
IPv6 主机 需要 发 起 一 个 Web 会 话 时 ， 可 能 为 相应 的 IP 地 址 发 起 DNS 解析 。 在 
它们 的 递归 域名 服务 器 上 部 署 了 DNS64 功能 后 ， 服 务 提供 商 能 够 自动 将 请 求 的 
主机 地 址 (在 这 种 情况 下 是 P4 ) 转换 为 IPv6 地 址 ,来 使 得 客户 能 够 通过 
NAT64 网 关 与 目的 主机 建立 http 会 话 。 

无 论 服 务 提供 商 何 时 为 用 户 实 现 IPv6 , DNSO4/NATO4 的 部 署 能 够 使 得 这 些 
用 户 访问 终 将 会 成 为 历史 遗产 的 IPv4 网 站 。 


































NAT 映射 表 
BIB:2001 :db8:3a01:4fc6:33:6431 ::p=191 1 198.51.100.40 p=3931 
Session:(2001 :db8:3a01 :4fc6:33:6431::,=1911), 
(2001:db8:3a01:4fc0:0:2be::, 80)<>(198.51.100.40.3931),(192.0.2.188,80) 


2001 :db8:100::al IPv4 主 机 
- 192.0.2.188 
v6 源 地 址 =2001:db8:3a01:4fc6:33:6431::p=1911 4 源 =198 51.100.49 

v6 目 标 地 址 =2001:db8:3a01:4fc0:0:2bc::p=80 Veni ce 











图 3-35 NAT64/DNS64 服务 提供 者 架构 


3.5.4 部 署 方法 的 比较 
表 3-10 给 出 的 部 署 方法 的 高 层次 比较 ， 归 纳 了 各 部 署 方法 的 相关 特性 。 
表 3-10 部署 方 法 的 高 层次 比较 




















IPv6 部 署 方法 
基本 标准 PE/ i AA | 具有 DNS64 
NAT444 | 双 栈 $ aes 6rd 4over6 ne a DN 全 IPv6 
6VPE | 隧道 双 栈 | AY NAT64 





商业 或 住宅 WA | 均 有 | 商业 | 商业 | 住宅 | 商业 | 住宅 均 有 均 有 
提供 IPv6 支持 | 不 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 支持 支持 



























































IPv4/IPv6 共存 | 不 共存 | 共存 | 共存 | 共存 | 共存 | 共存 | 共存 共存 “| 不 共存 
实现 复杂 度 高 高 中 中 低 低 中 高 中 
需要 客户 端 


























不 需要 | 不 需要 | 不 需要 | 不 需要 | 需要 | 不 需要 | 需要 不 需要 需要 
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( 续 ) 
IPv6 部 署 方法 
FE 本 ËR 准 T ij H.A ha 
NAT444| 双 栈 i 6rd | 4over6 HA AA ee 全 IPv6 
6VPE | 隧道 双 栈 | 的 NAT64 
需要 新 的 服务 
a 不 女 女 不 ee ee 不 需 ee 不 需要 
提供 商 设备 
新 进 性 操作 和 发 现 
k 
修理 故障 的 复杂 性 和 i | j i £ i j 
支持 重量 的 IPv4 
= 支持 | 不 支持 | OVPE | 不 支持 | N/A | 不 支持 | 支持 不 支持 | N/A 





























3.6 3it5 DNS 的 考虑 


无 论 选 择 哪 种 部 署 策略 ， 适 当 的 IPv6 地 址 分 配 和 DNS 配置 对 于 IPv6 的 
成 功 部 署 是 至 关 重 要 的 。 除 非 计 划 做 全 新 网 络 的 部 署 ， 否 则 都 应 当 考 虑 IPv6 
地 址 空间 和 当前 与 未 来 部 署 的 IPv4 地 址 空间 的 管理 及 分 配 。 例 如 ， 在 一 个 
双 栈 部 署 中 ， 不 仅 要 在 子 网 级 别 进行 地 址 空间 管理 ， 而 且 要 细 化 到 双 栈 设备 
接口 对 IPv4 及 IPv6 地 址 的 使 用 管理 ， 这 对 于 精确 的 IP 地 址 空间 的 管理 是 至 
关 重 要 的 。 

要 谨慎 细致 地 分 配 从 RIR 获得 的 IPv6 地 址 。 作 为 一 个 一 般 原 则 ， 从 RIR 获 
得 的 地 址 块 的 前 缀 长 度 和 准备 分 配给 用 户 的 地 址 空间 大 小 之 间 的 差异 将 决定 需 
要 如 何 处 理 地 址 的 层级 结构 。 例 如 ， 如 果 从 RIR 处 获得 一 个 /32 的 地 址 块 ， 并 打 
算 分 配 /64 的 地 址 块 给 用 户 ， 那 将 有 32 位 的 地 址 空间 可 以 用 来 进行 层级 分 配 ， 
如 通过 区 域 (如 /36s )、 城 市 (如 /44s )、 服 务 节 点 (如 /52s )、PE 设备 
(如 /56s) 这 样 的 层次 结构 。 例 子 中 的 层级 分 配 结构 将 允许 分 配 16 个 地 区 ， 每 
个 地 区 又 能 分 别 分 配 256 个 城市 ， 每 个 城市 又 能 分 配 256 个 服务 节点 ， 每 个 服务 
节点 又 能 分 配 16 个 PE 设备 ， 每 个 设备 又 能 支持 256 /64s 个 用 户 。 当 然 ， 这 是 
一 个 例子 ， 可 能 分 配 更 多 或 更 少 不 同 大 小 的 层 。 

如 果 要 分 配 更 大 的 地 址 块 给 用 户 ， 那 么 将 剩 下 更 少 的 可 使 用 位 。 如 果 是 非 
均匀 地 将 地 址 块 分 配给 用 户 (如 ，/48 给 企业 用 户 ，/64 给 SOHO 用 户 ) ， 那 么 
在 用 稀 朴 、 最 适合 或 随机 的 方式 分 配 地 址 空间 时 ， 就 需要 一 个 更 加 复杂 的 地 址 
分 配 及 追踪 机 制 ， 这 将 会 在 本 书 第 5 章 进行 描述 。 

DNS 配置 将 使 终端 用 户 通达 网 络 (命名 空间 ) 中 IPv4 或 IPv6 可 寻 址 的 目的 
地 址 。 目 的 地 址 的 解析 属于 各 自 域名 管理 员 的 管理 范围 。 对 于 IPv6 地 址 
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(AAAA 记录 查询 类 型 ) 而 不 是 IPv4 (A 记录 查询 类 型 ) 所 返回 的 响应 ， 将 对 查 
询 主机 表明 这 个 地 址 只 能 通过 IPv6 进行 访问 。 在 这 种 情况 下 ，IPv6 服务 会 被 用 
来 建立 连接 。 

一 些 IPv4/IPv6 转换 技术 对 于 DNS 有 直接 的 要 求 ， 如 NAT64/DNS64。 如 果 
给 用 户 指 定 了 反 向 区 和 地 址 空间 ， 那 么 DNS 必须 要 有 正确 (精确 !) 的 ip6. arpa 
区 及 对 应 的 NS/glue 记录 。 这 与 分 配 IPv4 地 址 的 过 程 类 似 ， 但 在 十 六 进 制 与 十 
进 制 的 域名 标签 表示 上 有 明显 的 语法 差异 。 



































第 4 章 IPv6 准备 情况 评估 


IPv4 是 如 今 使 用 最 普遍 的 协议 ， e 工具 ， 同 时 作为 广 
泛 的 应 用 工具 服务 于 商业 和 家 庭 访问 。 迄 今 为 止 ，IPv6 还 只 是 被 使 用 在 一 个 比 
PARONA. PATI, BOANRLIESCE, WORT IRS IEME ee OIE, JM 
而 使 IPv6 的 地 位 赶 超 其 老大 哥 Pv4。 为 什么 采用 IPv6 需要 这 人 么 长 的 时 间 ? 这 个 
问题 也 是 在 过 去 15 年 里 人 们 一 直 在 讨论 的 主题 。 答 案 就 是 并 没有 像 电影 《世纪 
骇 客 》 那 样 的 强迫 性 事件 来 逼迫 人 们 需要 在 某 个 截止 时 间 之 前 完成 这 技术 上 的 
升级 。 虽 然 IPv4 地 址 空间 在 某 个 时 刻 已 经 被 耗 尽 ， 但 像 NAT 等 技术 的 产生 延长 
了 IPv4 的 寿命 ， 同 时 也 拖延 了 IPv6 的 采用 。 

尽管 包括 美国 政府 在 内 的 一 些 组 织 已 经 确定 了 它们 IPv6 部 署 的 目标 日 期 ， 
IPv4/IPv6 过 渡 技 术 仍 需要 支持 很 长 一 段 时 间 的 共存 斯 和 过 渡 期 。 但 什么 将 会 成 
为 IPv6 因特网 的 触发 器 ， 并 推动 IPv6 占据 主导 地 位 呢 ? 这 又 将 在 何 时 发 生 ? 移 
动 设备 的 使 用 是 否 会 促使 IPv6 增长 ? 又 或 者 使 可 用 IPv4 地 址 空间 的 消耗 、 云 计 
算 ， 还 是 数据 中 心虚 拟 化 的 激增 呢 ?” 到 底 最 终 使 IPv6 具有 更 加 突出 的 地 位 的 弓 
爆 点 是 什么 呢 ? 答案 是 “以 上 都 是 ”。 

IPv6 的 广泛 采用 将 会 使 这 样 一 个 逻辑 过 程 得 以 实现 ， 它 以 网 络 设备 提供 商 
LIF IPv6 开始 ， 然 后 到 服务 提供 商 ， 再 到 应 用 /内 容 提供 商 ， 最 后 将 其 逐渐 到 企 
业 和 家 庭 使 用 。 目 前 这 个 过 程 正在 顺利 进行 ， 大 部 分 设备 提供 商 和 服务 提供 商 
已 经 实现 了 IPv6。 

2012 年 6 月 ， 美 国 Google (www. google. com), Facebook (www. facebook. com) 、 
Bing (www. bing. com) 和 Yahoo (www. yahoo. com) 等 服务 提供 商 和 内 容 提供 商都 永 
久 性 地 在 其 主页 上 启用 了 IPv6。 这 次 “世界 IPv6 启动 ”是 一 项 重要 的 里 程 碑 ， 标 志 
着 IPv6 在 因特网 上 被 实际 采用 的 开始 。 而 这 产生 的 结果 就 是 ， 因 特 网 协会 报告 有 成 
千 上 万 的 公司 和 网 站 现在 都 支持 IPv6 了 [9 。 横 跨 多 个 产业 的 领头 公司 为 支持 IPv6 都 
做 出 了 重大 投资 ， 说 明 IPv6 正 从 实验 室 中 逐渐 地 应 用 到 商业 生产 环境 中 。 


4.1 制订 一 个 适当 的 计划 

















































































































IPv6 的 部 署 已 经 不 是 一 个 “如 果 ” 而 是 一 个 “ 何 时 ”的 问题 了 ， 那 么 如 
何 做 好 准备 呢 ? 无非 就 是 制订 一 个 计划 。 本 书 的 目的 就 是 为 你 在 计划 过 程 中 
提供 帮助 。 拥 有 一 个 可 靠 、 经 过 深思 熟 虑 的 合适 的 计划 ， 将 会 使 部 署 过 程 流 
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水 线 化 ， 并 减少 部 署 时 出 现 意 外 情况 。 部 署 IPv6 的 计划 过 程 现在 就 应 该 开 
始 了 。 

没有 两 个 网 络 是 完全 相同 的 ， 在 为 你 的 网 络 部 署 IPv6 时 ， 网 络 的 具体 
需求 和 基础 设施 元 素 必 须要 得 到 妥善 处 理 。 因 此 ， 你 组 织 内 IPv6 的 部 署 不 
可 能 是 一 项 简单 的 任务 。 另 一 方面 ， 如 果 你 保持 更 新 不 算 太 老 的 路 由 器 、 交 
换 机 和 操作 系统 版 本 等 网 络 基础 设施 ， 那 你 可 能 已 经 处 在 正确 的 道路 上 了 。 
由 于 网 络 内 TCP/IP 的 普遍 性 质 ， 通 过 网 络 核心 的 基础 ，IP 如 同 织物 一 样 被 
编织 进去 ， 所 有 受 影 响 的 群体 内 的 业务 也 都 必须 参与 进去 。 制 定 的 计划 必须 
包括 所 有 主要 的 开 部 门 ,包括 基础 设施 、 网 络 、 安 全 和 应 用 程序 。 对 于 任 
何 参 与 管理 、 监 控 和 采购 (如 虚拟 主机 、 外 部 DNS) 等 IT 服务 的 IT 合作 伙 
伴 ， 当 这 些 组 织 随 着 IPv6 的 部 署 而 功能 可 能 受 影响 时 ， 也 需要 它们 参与 
进来 。 

作为 计划 的 一 部 分 ， 需 要 考虑 的 一 些 关键 点 如 下 : 

e 开发 一 个 业务 案例 ， 以 概述 IPv6 的 好 处 。 要 清楚 这 个 案例 是 什么 ， 为 什 
么 需要 这 个 案例 ， 以 及 与 过 渡 有 关 的 风险 是 什么 。 将 此 呈现 给 高 级 管理 人 员 ， 
并 确保 他 们 有 一 个 坚定 的 认识 从 而 愿意 支持 项 目 。 开 始 时 可 以 将 焦点 集中 在 你 
的 网 络 的 一 个 特定 范围 或 者 子 集 中 ， 以 “试验 ”该 部 署 并 获得 一 个 成 功 的 部 署 
经 历 ， 从 而 为 进一步 的 部 署 起 到 重要 的 影响 ， 这 是 非常 有 意义 的 。 这 个 过 程 在 
本 书 第 1 章 中 已 经 描述 过 了 。 

e 在 你 的 组 织 内 建立 一 个 专门 为 IPv6 负责 的 项 目 工作 小 组 。 要 求 成 员 来 自 
于 各 个 领域 的 开 组 织 及 在 你 整个 组 织 内 的 其 他 受 影响 部 门 。 

ee 了解 你 当前 的 网 络 环境 。 正 如 将 在 本 章 讨 论 的 ， 执 行 你 的 网 络 发 现 系 
统 或 者 使 用 你 当前 的 IP 地 址 管理 (IP Address Management, IPAM) 解决 方 
案 ， 来 绘制 出 你 现 有 的 TP 地 址 空间 。 盘 点 你 现 有 的 基础 设施 和 应 用 。 别 忘 
了 ， 在 开始 IPv47IPv6 共存 之 旅 之 前 ， 需 要 知道 你 的 IPv4 现在 到 哪个 地 
步 了 。 

e 如 果 需 要 的 话 ， 借 助 外 部 资源 。 如 果 需 要 ， 考 虑 使 用 咨询 服务 ， 以 帮助 进 
行 网 络 发 现 、IPv6 规划 、 项 目 管理 和 培训 。 

o 借助 全 组 织 内 关键 的 刷新 间隔 。 在 大 部 分 组 织 内 ， 计 划 中 的 正常 的 硬 
件 和 软件 更 新 都 可 以 作为 你 的 优势 ， 用 已 存在 的 全 更 新 计划 来 调整 IPv6 
“更 新 ”。 

e 制订 与 IPv6 相关 的 寻 址 、 安 全 和 网 络 管理 的 计划 及 路 线 图 。 在 计划 过 程 
中 ， 要 尽早 启动 这 个 部 分 ， 因 为 这 是 很 耗 时 的 ， 而 且 必 须要 有 组 织 内 已 经 存在 
的 安全 架构 的 支持 。 接 下 来 的 三 章 将 分 别 阐述 这 些 领 域 。 
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4.2 IP 网 络 库存 


4.2.1 IPv6 准备 情况 


使 用 IPv6 准备 情况 来 表示 网 络 设 备 、 操 作 系 统 、 终 端 用 户 设 备 、 应 用 程序 
或 网 络 提供 商 的 兼容 性 。 要 知道 ， e a he 同时 也 包 
括 了 软件 、 过 程 和 可 操作 性 知识 在 内 的 整个 IT 功能 。 

你 的 组 织 应 该 建立 一 个 具体 到 网 络 的 IPv6 准备 程序 。 它 应 该 包括 下 面 几 点 : 

e 对 你 当前 IP 地 址 库存 和 使 用 的 回顾 。 

© 对 你 的 网 络 和 计算 基础 设施 关于 IPv6 兼容 性 的 评估 。 这 应 包括 包含 网 络 
服务 在 内 的 硬件 和 软件 。 

e 对 你 的 业务 应 用 程序 的 审查 ， 以 确保 它们 已 为 IPv6 做 好 准备 ， 并 且 能 
在 IPv6 网 络 上 正确 运行 。 

© 对 你 组 织 的 IPv6 技术 能 力 的 评 佑 ， 涉 及 组 织 中 包括 工程 、 运 营 和 支撑 在 
内 的 所 有 角色 。 

o 对 当前 IT 流程 的 回顾 ， 确 保 它们 包括 IPv6。 

© 对 安全 策略 、 体 系 架构 和 实践 的 分 析 。 

e 对 通过 网 络 和 你 的 业务 打交道 的 客户 、 合 作 伙 伴 和 供应 商 系统 的 IPv6 准 
备 情况 的 测定 。 

对 上 述 的 每 个 评估 范畴 ， 你 应 该 确认 并 跟踪 其 详细 的 标准 ， 然 后 将 其 归 类 
为 以 下 三 类 . 

已 经 支持 IPv6。 

© 能 够 升级 IPv6。 

© 不 文 持 或 升级 IPv6。 

为 了 为 你 的 网 络 协助 这 些 评估 领域 ， 本 书 创建 了 一 个 IPv6 准备 情况 模板 。 
你 可 以 使 用 此 模板 进行 确认 和 分 类 IPv6 准备 情况 。 模 板 部 分 将 在 后 面 的 章节 中 
进行 描述 ， 完 整 的 样本 见 本 书 附录 ; 电子 版 本 在 网 址 www. ipamworldwide. com 上 
可 下 载 。 


4.2.2 发 现 

首先 是 要 确定 你 网 络 中 的 每 一 个 组 成 部 分 。 如 果 你 已 经 有 具体 的 网 络 ， 并 
计算 库存 信息 ,那么 恭喜 你 ! 如 果 你 没有 或 者 你 想 核实 这 份 库存 信 息 ， 那 么 可 
以 使 用 网 络 发 现 程序 ， 其 目标 就 是 直接 从 每 个 设备 中 收集 系统 的 详细 信息 A Ñ 
过 使 用 一 个 或 多 个 如 今 许 多 可 用 的 网 络 元 素 / 设 备 发 现 工具 进行 你 的 网 络 设 备 的 
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发 现 ， 会 使 为 IPv6 就 绪 做 准备 的 工作 变 得 非常 地 简单 ， 如 以 下 几 个 工具 : 
® Netformx Discovery ™ 1% 
e HP DDMI (Discovery and Dependency Mapping Inventory ) [7 
© OPNET NetMapper™”! 
这 些 工 具 和 类 似 的 工具 将 为 你 提供 网 络 中 每 个 元 素 的 重要 信息 ， 包 括 供应 
商 、 便 件 版 本 及 运行 在 网 络 设备 上 的 操作 系统 /IOS 版 本 。 


4. 2. 3 IPv6 评估 


接 下 来 的 任务 ， 就 是 将 你 的 网 络 库存 ， 包 括 网 络 和 计算 机 设备 、 软 件 和 应 
用 程序 的 型 号 /版 本 列 出 清单 ， 与 已 发 布 的 每 一 项 IPv6 功能 进行 比较 。 由 于 需要 
把 计算 机 设备 和 软件 与 供应 商 的 数据 表 和 IPv6 准备 情况 报表 进行 比较 ， 因 此 就 
算 有 的 话 也 很 少 有 工具 可 以 自动 完成 这 个 手动 和 烦琐 的 过 程 。 

随 着 评估 阶段 分 析 你 当前 网 络 的 和 硬件、 软件 和 应 用 程序 的 相关 工作 的 进行 ， 
你 可 以 借助 一 些 资 源 ， 它 们 可 以 帮助 你 确定 和 评估 你 的 设备 和 应 用 的 IPv6 功能 。 
这 些 资源 包括 供应 商 信息 、 互 操作 性 测试 实验 结果 ， 以 及 普通 的 关于 IPv6 准备 
情况 的 信息 网 站 。 这 里 列 出 了 一 些 可 以 帮助 你 的 资源 : 

© IPv6 应 用 程序 兼容 性 列表 一 一 美国 威斯康星 大 学 麦迪 逊 分 校 (http: // 
kb. wisc. edu/helpdesk// page. php? id = 11691 ) 。 一 个 关于 IPv6 软件 应 用 程序 兼 
容 性 版 本 信息 和 供应 商 报表 的 集合 。 

© IPv6 Jie FA Sc FF AY Le ee FE A BE (http: //en. wikipedia. org/wiki/Com- 
parison_of_IPv6_application_support) 。 一 个 关于 IPv6 软件 应 用 程序 兼容 性 版 本 信 
息 的 列表 。 信 息 是 有 些 过 时 的 ， 不 过 网 站 确实 有 到 应 用 程序 开发 人 员 网 站 的 链 
接 ， 这 些 网 站 有 更 多 当前 信息 。 

e IPv6 标准 一 一 IETF 的 IPv6 和 IPv6 维护 组 (http: //www. ipv6- to- stand- 
ard. org/ ) 。 一 个 由 IETF 维护 的 数据 库 ， 包 含 一 个 启用 了 IPv6 且 取 得 了 成 功 运作 
IPv6 经 验 产品 的 列表 。 

e IPv6 论坛 一 一 “IPv6 Ready Logo” mH (www. ipv6ready. org) 。 提 供 一 份 
“IPv6 Ready Logo” 项 目 认可 的 软件 和 硬件 设备 列表 。 这 是 一 份 已 经 通过 标识 规 
范 的 测试 并 实现 IPv6 就 绪 状 态 的 软件 和 硬件 列表 。 

© 设备 和 软件 供应 商 一 一 大 多 数 主要 的 设备 和 软件 供应 商都 更 新 了 它们 与 
IPv6 准备 情况 相关 的 网 站 和 IPv6 相关 的 符合 性 声明 。 与 供应 商 紧密 合作 ， 以 确 
保 如 果 它 们 还 没完 全 与 IPv6 兼容 ， 你 也 能 了 解 它们 的 IPv6 发 展 路 线 图 。 我 们 需 
要 真正 的 IPv6 支持 ， 并 仔细 了 解 部 分 兼容 的 全 部 含义 。 

如 果 你 愿意 的 话 ， 不 同 的 供应 商会 为 你 提供 IPv6 的 评估 服务 来 分 担 这 项 任 
务 。IPv6 部 署 评 估 不 仅 包 括 能 够 运行 IPv6 的 硬件 和 软件 。 评 估 必 须 包 括 你 的 IT 
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结构 的 所 有 方面 ， 包 括 以 下 各 方面 : 

e IP 寻 址 。 

e 关键 的 网 络 服务 。 

o 网 络 基础 设备 设施 。 

© 软件 应 用 ， 包 括 现 成 的 和 定制 的 业务 应 用 、 运 营 支 撑 系 统 ( Operational 
Support System, OSS) 应 用 、 监 控 系 统 、 供 应 系统 及 其 他 支持 系统 。 

© 技术 技能 和 知识 。 

e IT 相关 的 过 程 ， 包 括 网 络 管理 。 

© 安全 策略 ， 体 系 架构 和 实践 。 

e 通过 网 络 与 你 进行 业务 交互 的 客户 、 合 作 伙 伴 和 供应 商 系统 。 
4.2.3.1 IP 地 址 评估 

在 IPv6 的 评估 过 程 中 ， 第 一 步 就 是 需要 确定 当前 IP 地 址 的 分 配 。 你 必须 完 
全 了 解 已 经 部 署 的 IPv4 空间 ， 如 何 分 配 和 在 何 处 分 配 ， 以 及 目前 的 使 用 率 情况 。 
如 果 你 正 使 用 免费 的 或 者 市 售 的 IPAM 工具 来 管理 你 的 P 地 址 空间 ， 那 么 对 于 
收集 这 部 分 数据 你 应 该 可 以 有 一 个 良好 的 开端 。 如 果 没 有 的 话 ， 你 就 需要 进行 
IP 地 址 发 现 ， 并 收集 这 部 分 数据 。 你 的 IP 地 址 基础 设施 的 评估 必须 包括 以 下 
几 点 : 

o 根 块 的 分 配 。 收 集 你 的 组 织 当 前 拥有 的 所 有 分 配 列表 (IPv4 和 IPv6， 如 
果 有 的 话 ) ， 并 将 这 些 信息 放置 到 存储 库 。 这 不 仅 包 括 你 从 RIR“ 租 赁 ”的 公共 
地 址 空间 ， 还 有 私有 空间 ， 也 就 是 RFC 1918 空间 。 对 存储 这 部 分 信息 而 言 ， 
IPAM 工具 是 一 个 完美 的 存储 库 ， 不 过 即使 是 一 个 简单 的 电子 表格 也 是 可 以 的 。 
其 中 要 包括 被 分 配给 这 些 块 的 每 一 块 的 技术 和 业务 联系 人 以 供 将 来 参考 。 

© 为 你 每 个 根 块 逐条 分 配 IP 地 址 规划 。 此 计划 包括 描述 网 络 中 IP 地 址 空间 
如 何 分 配 的 一 份 详细 列表 或 图 。 通 常情 况 下 ， 耳 地 址 空间 是 根据 应 用 程序 和 位 
置 来 进行 分 配 的 ， 而 在 大 型 网 络 内 可 能 根据 多 个 层次 进行 分 层 分配 。 这 些 “ 使 
用 ”的 标识 和 每 个 IP 地址 分 配 上 的 分 层 ， 以 及 技术 和 管理 联系 人 的 信息 ， 都 是 
值得 拥有 的 。 

e 所 有 关于 你 IP 地 址 分 配 的 IP 使 用 率 信 息 。 有 了 每 个 可 用 的 IP 地 址 分 配 的 
使 用 率 信息 ， 将 会 在 设计 阶段 节省 大 量 的 时 间 。 收 集 这 些 信息 一 般 都 通过 使 用 
网 络 扫描 工具 (捕捉 静态 地 址 分 配 ) 和 通过 从 你 已 经 存在 的 DHCP 服务 器 中 收 
ÆR DHCP 租赁 信息 来 获取 。 目 前 ， 市 场 上 有 几 个 可 用 的 工具 和 服务 ， 使 用 这 类 
工具 和 服务 将 有 助 于 你 的 收集 工作 。 

e 建立 IP 地 址 分 配 策略 。 如 果 你 还 没有 在 你 的 组 织 内 使 用 标准 策略 ， 现 在 
正 是 制定 它们 的 时 候 。 考 虑 使 用 模板 或 者 与 IP 地 址 分 配 同样 模式 的 方法 ， 定 义 
一 个 标准 化 的 方法 以 使 空间 分 配 能 够 继续 深入 发 展 。 层 次 分 配对 于 维持 有 效 的 























第 4 章 IPv6 准备 情况 评估 91 





路 由 是 至 关 重 要 的 。 稍 后 将 讨论 相关 的 逻辑 ， 并 在 本 书 第 5 章 帮 助 指导 你 定义 
IP 寻 址 策略 。 

图 4-1 所 示 为 卫 地 址 评估 模板 示例 。 使 用 该 模板 你 能 够 列举 出 从 每 个 RIR 
获取 的 根 地 址 块 。 在 块 地 址 栏 中 用 CIDR 表示 法 列 出 每 个 块 ， 并 为 每 个 块 输入 与 
RIE ae ath Ser Al, a BIR Aas ae, Dine 
时 间 的 推移 你 可 能 要 利用 好 这 一 点 ， 尤 其 是 你 要 更 好 地 使 用 IPv4 或 者 完全 过 渡 
到 IPv6 (虽然 这 个 最 终 状 态 需 要 好 些 年 来 完成 ) 。 如 果 你 已 经 获得 了 一 些 IPv6 
地 址 ， 或 者 如 果 你 正 使 用 相当 于 ULA 空间 的 私有 地 址 进行 实验 ,那么 你 也 可 以 
用 根 和 层次 分 配 来 表示 这 些 IPv6 地 址 。 


功能 区 块 地 址 TTA 评估 下 一 步 的 计划 
IPv4 地 址 空间 


ARIN 根 块 分 配 
RIPE 根 块 分 配 
APNIC 根 块 分 配 
LACNIC 根 块 分 配 
AfriNIC 根 块 分 配 


全 
RFC 1918 根 块 分 配 
TPv6 地 址 空间 
ARIN 根 块 分 配 


























RIPE 根 块 分 配 
APNIC 根 块 分 配 
AfriNIC 根 块 分 配 
ULA 根 块 分 配 























4-1 IP 地 址 评估 模板 示例 


“下 一 步 的 计划 ”这 一 列 让 你 可 以 为 一 个 项 目 放 置 一 个 检查 标签 ， 标 签 记 

n o 些 行为 。 例 如 ， 如 果 你 还 没有 获得 IPv6 地 址 空 
间 ， 就 将 IPv6 地 址 空 P e E ca 下 一 步 的 计划 ” 列 中 。 
图 4-2 所 示 为 IP 地 址 根 块 评估 示例 。 这 个 示例 中 给 出 了 一 对 公共 的 IPv4 块 ， 
个 ARIN 的 虚拟 分 配 ， 0 另外 ， 还 给 出 了 这 些 块 当前 的 
使 用 率 ， 同 时 也 给 出 了 它们 各 自 的 更 新 日 期 及 一 些 下 一 步 的 计划 。 在 私有 IPv4 
地 址 空间 中 ， 有 一 个 10. 0. 0.0/8 块 和 一 对 因 公 司 收购 而 有 的 192. 168. 0. 0/16 
块 。 对 于 每 一 项 ， 还 有 其 利用 率 和 评 佑 说明。 为 了 IPv6 部 署 工作 ， 从 APNIC 中 
分 配 了 一 个 2001: db8: 4af0:: /48 的 IPv6 块 给 这 个 组 织 。 

为 了 补充 你 的 IP 地 址 评估 ， 需 要 进一步 的 文档 来 描述 你 当前 的 TP 地址 规 
划 ， 以 图 、 列 表 或 者 电子 表格 的 形式 来 描述 一 个 公共 的 和 私有 的 根 块 是 如 何在 
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块 地 址 | 全 用 /和 用 | 评估 | 下 一 步 的 计划 


IPv4 地 址 空间 
ARIN 根 块 分 配 192.0.2.0/24 62% 3/17/2014 过 期 “| 为 IPv4 因 特 网 保留 


RIPE 根 块 分 配 EE 
APNIC 根 块 分 配 。 |198.51.100.0/24 | ”99% |10/22/2013 过 期 | 需要 IPv6 分 配 的 补充 
LACNIC 根 块 分 配 | 

AfriNIC 根 块 分 配 


RFC 1918 根 块 分 配 






























10.0.0.0/8 完全 集成 的 
192.168.0.0/16( 主 要 的 ) 分 隔 的 网 络 
192.168.0.0/16( 收 购 的 ) 6 被 收购 公司 网 络 

















IPv6 地 址 空间 














ARIN 根 块 分 配 
APNIC 根 块 分 配 eA db8:4af0::/48 a 初始 分 配 用 于 IPv6 部 署 的 块 
| | LACNIC 根 块 分 配 | 


[Aon 
ULA 根 块 分 配 





























14-2 IP 地 址 根 块 评估 示例 


你 的 组 织 内 进行 分 配 的 ， 就 像 下 面 10. 0. 0.0/8 根 块 的 示例 一 样 。 尽 可 能 结合 
由 拓扑 对 你 的 地 址 空间 建 模 。 例 如 ， 如 果实 现 了 常见 的 三 层 核心 分 布 访问 拓扑 ， 
那 就 在 每 一 层 表 示 地 址 分 配 情况 ， 就 像 图 4-3 所 示 的 那样 ， 通 过 缩 进 把 每 个 地 址 
块 层次 性 地 展现 出 来 ， 最 顶层 的 是 全 局 分 配 (/8)， 下 一 层 是 大 陆 核 心 层 的 分 配 
(Z12) ， 接 下 来 是 各 自 的 地 区 分 配 (A16) ， 然 后 是 访问 / 子 网 的 分 配 (/24)。 














全 局 分 配 10.0.0.0/8 
南美 洲 分 配 10.0.0.0/12 
东部 10.0.0.0/16 
费城 10.0.0.0/24 
蒙特 利 尔 10.0.0.1/24 
华盛顿 10.0.0.2/24 
中 部 10.1.0.0/16 
A 10.1.0.0/24 
休斯顿 10.1.0.1/24 
丹佛 10.1.0.2/24 
西部 10.2.0.0/16 
IH 10.2.0,0/24 
西雅图 10.2.0.1/24 
圣地 亚 哥 10.2.0.2/24 
欧洲 分 配 10.16.0.0/12 
东部 10.16.0.0/16 
柏林 10.16.0.0/24 
基辅 10.16.1.0/24 
西部 10.17.0.0/16 
伦敦 10.17.0.0/24 
巴黎 10.17.1.0/24 
罗马 10.17.2.0/24 








到 4-3 IP 地 址 层次 分 配 示例 
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4.2.3.2 ”网 络 基础 设施 模板 

网 络 基础 设施 的 模板 提供 了 方便 的 跟踪 表格 ， 可 用 于 记录 和 表示 你 的 核心 
网 络 服务 、 路 由 和 交换 基础 设施 、 终 端 用 户 设备 、 软 件 应 用 程序 和 有 关系 的 客 
户 或 合作 伙伴 等 IPv6 准备 情况 。 下 面 将 依次 讨论 上 述 各 个 领域 。 图 4-4 所 示 为 
网 络 基础 设施 设 佑 综合 模板 示例 ， 可 对 每 个 网 络 组 件 进 行 标识 CIP 地 址 、 应 用 
程序 名 称 、 序 列 号 、MAC 地 址 ， 或 者 任何 跟踪 你 的 设备 和 应 用 程序 的 方式 ) 。 对 
于 每 个 组 件 ， 你 应 该 表示 出 提供 该 组 件 的 供应 商 ， 以 及 硬件 、 操 作 系统 和 其 本 
号 “功能 ”的 当前 版 本 。 例 如 ， 对 于 具有 硬件 平台 和 操作 系统 软件 的 服务 器 ， 
给 出 安装 在 此 服务 器 上 的 DNS 版 本 。 

评估 需要 定义 每 一 个 “ 子 组 件 ” 的 IPv6 能 力 ， 以 确定 其 功能 是 本 来 就 完全 
LIF IPv6， 还 是 需要 升级 或 者 根本 不 文 持 。 通 过 检查 评估 模板 上 对 应 列 中 的 项 
来 找 出 此 项 答案 。 模 板 中 也 提供 了 表示 任何 IPv6 限制 或 警告 的 内 容 ， 还 有 为 
IPv6 升级 或 测试 而 需要 的 其 他 单元 ， 以 及 过 渡 到 具有 IPv6 能 力 的 下 一 步 计 划 。 
现在 就 来 探讨 这 些 领域 的 更 多 细节 。 
4.2.3.3 网 络 服务 

在 这 个 升级 过 程 的 初期 ， 你 的 关键 网 络 服务 也 必须 被 评估 。 这 些 服务 包括 
DNS, DHCP, Radius 和 基本 网 络 所 需 的 其 他 服务 。 如 果 这 些 基本 的 服务 还 未 文 
FF IPv6 的 话 ， 它 们 必须 升级 到 支持 IPv6。 记 住 重要 的 一 点 ， 就 是 要 注意 当 你 在 
查询 每 一 项 服务 的 能 力 时 ， 其 中 一 些 可 能 在 为 网 络 用 户 提供 IPv6 服务 的 同时 也 
需要 通过 进行 配置 和 管理 使 其 支持 耻 w4。 也 就 是 说 ， 有 些 可 能 就 功能 方面 上 而 
言 是 双 协 议 栈 的 。 一 般 来 说 ， 不 能 将 部 署 IPv6 看 做 是 替换 IPv4 ， 应 该 预计 将 会 
在 很 长 一 段 时 间 同 时 支持 IPv4 和 IPw6。 对 你 的 网 络 内 的 每 个 网 络 服务 的 评估 必 
须要 包括 以 下 方面 : 

o 收集 实现 网 络 服务 的 当前 供应 商 。 如 果 网 络 服务 架构 还 不 是 你 整个 网 络 计 
划 或 网 络 图 的 一 部 分 的 话 ， 这 是 一 个 记录 的 好 时 机 。 

e 收集 每 个 实现 的 网 络 服务 的 当前 版 本 。 指 出 每 个 版 本 是 开源 的 或 者 是 商业 
网 络 服务 ， 并 确保 你 了 解 网 络 服务 的 特定 版 本 。 

© 详细 列 出 每 个 网 络 服务 平台 的 当前 硬件 平台 和 操作 系统 。 理 解 和 记录 这 点 
很 重要 ， 因 为 尽管 网 络 服务 可 能 完全 支持 IPv6， 如 果 底 层 的 硬件 和 操作 系统 不 
支持 ,那么 你 就 不 能 够 利用 这 些 IPv6 功能 。 

© 记录 每 个 网 络 服务 当前 版 本 的 IPv6 功能 和 局 限 性 。 与 每 个 网 络 服务 供应 
商 合作 ， 或 者 收集 开源 网 络 服务 有 关 的 信息 ， 从 而 记录 当前 版 本 的 IPv6 能 力 和 
局 限 性 。 如 果 需 要 的 话 ， 供 应 商 应 该 能 够 为 你 提供 一 份 IPv6 准备 情况 说 明 。 

准备 情况 模板 的 网 络 服务 部 分 ， 提 供 了 关于 一 些 网 络 服 务 需 要 考虑 的 具体 
问题 和 要 点 信息 项 的 关键 字段 。 请 一 定 不 仅 要 注意 关于 IPv6 传输 的 IPv6 能 










































































评估 : 选择 一 项 































、 ， ，， |。 /| 当前 硬件 与 | 操作 系统 | 功能 支 | 项目 完全 | 项 目 支 持 [项 目 不 | IPv6 的 | 需要 的 | 具有 IPV6 功 能 的 
mh a be 目 ID| 当前 厂商 | 当前 版 本 | 操作 系统 支持 IPv6?| 持 IPv6?| 支持 IPv6 具体 限制 | 其 他 单元 | 下 一 步 的 计划 
网 络 服务 

DHCP 
DNS 
NTP/SNTP 





Radius/Diameter 














SMTP/POP/IMAP 





HTTP 
其 他 














网 络 基础 设施 





路 由 器 
核心 交换 机 
分 布 式 /边缘 交换 机 





负载 均衡 器 

应 用 服务 器 

防火 墙 
SAN/NAS 存 储 系 统 








无 线 接 入 点 





IP 电 话 服务 器 
其 他 


/端点 系统 








台式 机 /笔记 本 /工作 站 





平板 电脑 /PDA 





智能 手机 





其 他 手持 设备 





打印 机 





销售 点 设备 





CPE 设 备 
其 他 





软件 应 用 程序 





商业 应 用 1 





网 络 管理 应 用 1 





OSS 应 用 1 








客户 /合作 伙伴 系统 /链接 
合作 伙伴 系统 1 








合作 伙伴 系统 2 





























图 4-4 ”网 络 基 础 设施 订 


E 舍 综合 模板 示例 
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而 且 也 要 注意 适当 地 在 “应 用 层 ” 支 持 IPv6 地 址 。 你 可 以 在 模板 中 重复 多 行 ， 
从 而 为 每 个 网 络 服务 提供 复查 其 已 服务 的 范围 的 机 会 ， 以 帮助 确定 潜在 的 能 
问题 。 

如 果 你 每 项 服务 使 用 多 个 供应 商 或 者 可 能 只 有 一 个 供应 商 ， 或 如 果 你 想 要 
跟踪 这 种 详细 程度 ， 需 要 的 话 对 于 一 个 给 定 的 网 络 服务 你 可 以 有 多 个 行 。 评 佑 
列 应 该 被 用 来 表示 每 个 网 络 服务 是 否 能 够 同时 满足 IPv4 和 IPv6 的 要 求 ， 可 通过 
软件 升级 或 硬件 升级 ， 以 及 软件 和 硬件 同时 升级 ; 或 者 选择 不 支持 。 

你 可 以 检查 一 个 评估 列 ， 然 后 将 这 样 的 规定 表示 在 “下 一 步 的 计划 ” 列 ， 
并 适当 地 在 采购 清单 或 者 “需要 的 其 他 单元 ” 列 中 增加 一 项 。 图 4-5 所 示 为 包 
含 一 组 ISC 和 微软 DHCP 服务 器 的 网 络 评 佑 示例。 在 此 ,我们 “放大 ”了 工作 
表 的 一 部 分 ， 其 中 记录 了 每 个 服务 的 相关 信息 、 各 自 的 IPv6 能 力 和 评估 ， 以 及 
下 一 步 的 计划 。 

在 某 些 情况 下 ， 即 使 当前 的 网 络 服务 可 同时 支持 IPv4 和 IPv6， 你 可 能 还 是 
想 要 添加 一 项 网 络 服务 到 采购 清单 中 。 这 一 策略 则 在 将 修改 一 个 工作 的 IPv4 配 
置 ， 以 使 其 同时 支持 未 经 证 实 的 IPv4 和 IPv6 配置 的 风险 降 到 最 低 。 你 的 评估 应 
该 说 明 这 一 点 ， 不 管 添加 一 个 新 的 网 络 服务 是 由 于 功能 上 的 原因 ， 还 是 需要 / 想 
要 降低 风险 。 隔 离 IPv6 网 络 服务 流量 可 以 帮助 其 专注 在 IPv6 操作 中 而 不 影响 
IPv4 操作 ， 直 到 达到 一 个 较 合 适 的 IPv6 水 平 。 另 外 ， 如 果 你 没有 可 用 的 服务 器 
用 于 部 署 的 测试 阶段 ， 那 你 可 能 非常 渴望 为 你 的 测试 实验 室 采 购 一 个 或 者 多 个 
网 络 服务 服务 器 。 总 之 ， 如 果 一 个 特定 的 网 络 服务 需要 任何 形式 的 升级 、 更 换 、 
补充 或 实验 室 安装 ， 那 就 在 “下 一 步 的 计划 ” 列 中 记录 此 项 内 容 。 
4.2.3.4 ”网 络 基础 设施 设备 

虽然 许多 硬件 和 应 用 程序 供应 商 在 各 种 各 样 的 功能 上 支持 IPv6, 但 是 可 能 
需要 硬件 或 软件 升级 。 大 部 分 不 算 太 老式 的 网 络 基 础 设备 和 软件 已 经 至 少 在 一 
定 程度 上 支持 IPv6 了 。 要 确定 打算 使 用 的 特定 IPv6 功能 ， 如 移动 IPv6 或 地 址 自 
动 配置 ， 并 核实 每 个 供应 商 提 供 的 功能 支持 。 
供应 商 应 该 能 够 为 你 提供 所 需要 的 IPv6 准备 情况 和 它们 设备 的 功能 的 所 有 
细节 。 也 有 一 些 在 因特网 上 提供 的 可 用 资源 ， 特 别 是 IPv6 的 互 操作 性 实验 室 已 
经 证 明了 IPv6 测试 和 互 操作 性 测试 的 结果 。 为 了 完成 你 的 评估 ， 请 完成 以 下 
几 点 : 

e 详细 列 出 实现 网 络 设备 当前 的 供应 商 和 型 号 。 如 果 你 的 组 织 还 没有 适当 的 
网 络 设备 资产 系统 ， 这 可 能 是 去 实现 一 个 的 好 时 机 。 

e 列举 出 在 网 络 设备 上 运行 的 操作 系统 和 软件 的 当前 版 本 。 如 果 你 的 组 织 党 
未 标准 化 操作 系统 代码 等 级 ， 这 可 能 也 是 个 好 时 机 。 

© 确定 当前 设备 的 IPv6 能 力 和 局 限 性 。 与 供应 商 合 作 ， 或 通过 收集 开源 网 



























































10.200.0.11 


当前 | 当前 硬件 与 


版 本 


评估 : 选择 一 项 


操作 系统 | 功能 支持 | 项 目 完 全 | 项 目 支 持 | 项 目 不 支 IPv6 的 需要 的 
? | 支持 IPv6 | IPv6 升 级 | 持 IPv6 具体 限制 其 他 单元 


具有 IPv6 功 能 的 
下 一 步 的 计划 


升级 到 ISC 4.2 





10.16.35.98 








RHEL v5 











172.19.23.55 





Windows 2003 





升级 到 2008R2 





10.104.39.213 








2008R2 |Windows 2008R2 


图 4-5 


















包含 一 组 ISC 和 微软 DHCP 服务 器 的 网 络 评估 示例 
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络 服务 有 关 的 信息 ， 记 录 当 前 版 本 的 IPv6 能 力 和 局 限 。 如 果 需 要 的 话 供应 商 应 
该 能 够 为 你 提供 一 份 IPv6 准备 情况 的 说 明 。 

正如 模板 中 的 网 络 服 务 部 分 一 样 ， 可 能 需要 为 你 的 网 络 中 实现 的 每 个 网 络 
基础 设施 重复 多 行 以 单独 跟踪 每 个 设备 和 应 用 ， 或 者 你 可 能 想 通过 类 型 和 版 本 
进行 简单 的 概括 。 指 出 传输 层 和 处 理 层 的 IPv6 能 力 。 对 于 那些 需要 软件 和 /或 硬 
件 升 级 或 替换 的 元 素 ， 在 “下 一 步 的 计划 ” 列 中 指出 具体 细节 。 同 时 在 “需要 
的 其 他 单元 ” 列 中 指出 任何 用 于 备用 或 实验 室 安 装 的 所 需 采 购 信 息 。 
4.2.3.5 终端 用 户 / 端 点 设备 

大 部 分 组 织 内 的 大 多 数 设备 都 是 由 终端 用 户 和 端点 设备 组 成 的 。 终 端 用 户 设 备 
还 常 包括 最 广泛 多 样 性 的 设备 类 型 ， 特 别 是 如 今 公司 网 络 中 自 带 设备 的 激增 ， 其 数 
量 和 多 样 性 也 在 增长 。 从 服务 供应 商 的 角度 来 看 ， 端 点 设备 可 能 包括 客户 端 设备 ， 
如 客户 边缘 路 由 器 ， 或 无 线 电 、 光 纤 、DSL， 或 电缆 调制 解 调 峰 。 

与 所 有 连接 到 你 的 网 络 的 其 他 硬件 和 软件 一 样 ， 所 有 终端 用 户 和 端点 设备 
应 该 在 可 能 的 范围 内 被 评估 。 不 像 网 络 设备 ， 大 多 数组 织 在 其 上 都 有 标准 化 的 
首选 供应 商 和 型 号 ， 端 点 设备 可 能 变化 相当 多 样 ， 而 且 数 量 庞大 的 不 同 设备 类 
型 可 能 需要 一 些 额 外 工作 以 进行 适当 的 IPv6 准备 情况 评估 。 我 们 建议 首先 要 关 
注 一 些 关 键 的 设备 ， 如 笔记 本 、 台 式 机 、 打 印 机 、VolP 电话 、 销 售 终端 及 手持 
设备 等 对 业务 非常 关键 的 设备 。 

为 了 完成 你 的 评估 ， 请 完成 以 下 几 点 : 

© 详细 列 出 正在 你 的 网 络 上 使 用 的 终端 用 户 / 端 点 设备 的 当前 供应 商 和 型 号 。 
如 果 为 员工 提供 笔记 本 和 台式 机 ， 那 么 你 很 可 能 已 经 有 一 个 可 以 查询 的 资产 数 
据 库 了 。 

e 列举 出 在 这 些 设备 上 运行 的 当前 操作 系统 和 软件 版 本 。 首 先 要 集中 在 最 关 
键 的 系统 上 。 

© 确定 当前 设备 的 IPv6 能 力 和 局 限 性 。 与 供应 商 合 作 ， 或 通过 收集 开源 网 
络 服务 有 关 的 信息 ， 记 录 当 前 版 本 的 IPv6 能 力 和 局 限 性 。 如 果 需 要 的 话 供应 商 
应 该 能 够 为 你 提供 一 份 IPv6 准备 情况 的 说 明 。 

通过 逐 行 完成 评估 表格 中 的 项 ， 对 每 个 终端 用 户 设备 类 型 的 版 本 进行 评估 ， 
并 完成 每 一 项 评估 。 测 试 每 个 设备 类 型 IPv4 和 IPv6 的 协议 栈 ， 以 及 计划 中 的 隧 
道 技术 的 支持 度 。 如 果 打 算 使 用 翻译 技术 ， 那 么 你 的 预 部 署 测试 计划 中 要 包括 
对 常见 的 终端 用 户 设备 的 测试 ， 以 确保 实现 正常 的 通信 ， 这 将 在 本 书 第 8 章 
讨论 。 

为 每 一 设备 类 型 适当 地 测试 其 通用 或 共同 的 应 用 ， 以 识别 出 任何 IPv6 地 址 
表示 或 DNS 处 理 的 问题 。 对 于 识别 出 的 任何 问题 ， 咨 询 相应 的 供应 商 。 对 于 任 
何 检测 到 的 缺陷 ， 将 其 记录 在 相应 “具体 的 IPv6 限制 ” 列 中 并 将 解决 途径 记录 
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在 “下 一 步 的 计划 ” 列 中 。 此 外 ， 可 能 需要 采购 一 些 能 满足 你 的 IPv6 准备 情况 
评估 的 设备 类 型 ， 不 过 要 提醒 你 这 些 设备 类 型 需要 预 部 署 测 试 。 
4.2.3.6 软件 应 用 

正如 大 多 数 人 非常 清楚 的 ， 将 关键 业务 应 用 、 管 理 软件 或 自 定 义 编码 系统 
升级 到 一 个 新 的 版 本 ， 本 身 就 可 以 成 为 一 项 重大 工程 。 在 整个 过 程 的 早期 就 获 
得 一 份 准确 且 完 整 的 软件 应 用 清单 ， 是 非常 重要 的 。 由 于 需要 等 待 供应 商 完 成 
发 布 版 本 ， 并 在 内 部 进行 测试 ， 然 后 才 方 便 项 目的 部 署 ， 故 而 升级 软件 的 交付 
周期 可 能 会 很 长 。 幸 运 的 是 ，IPv6 已 经 提 上 日 程 很 长 一 段 时 间 了 ， 大 多 数 供应 
商 已 经 添加 了 或 者 在 这 个 过 程 中 添加 了 IPv6 支持 。 

评估 需要 包括 以 下 方面 : 

© 详细 列 出 实现 的 软件 的 当前 供应 商 。 如 果 你 的 组 织 还 没有 适当 的 软件 资产 
系统 ， 这 可 能 是 去 实现 一 个 的 好 时 机 。 

© 表示 出 每 个 处 于 运行 的 软件 的 当前 版 本 。 

e 记录 下 各 组 件 的 依赖 关系 ， 如 数据 库 供应 商 和 版 本 ， 并 评估 每 个 组 件 的 
IPv6 准备 情况 。 

e 列 出 每 个 应 用 的 功能 。 

e 通过 与 供应 商 或 软件 开发 人 员 合作 ， 识 别 并 记录 当前 软件 的 IPv6 能 力 和 
局 限 性 。 如 果 需 要 的 话 ， 供 应 商 应 该 能 够 为 你 提供 一 份 IPv6 准备 情况 的 说 明 。 

与 网 络 服务 和 网 络 基础 设施 一 样 ， 可 以 逐条 检查 网 络 中 使 用 的 每 个 业务 、 网 络 
管理 和 OSS 应 用 。 对 于 每 一 项 ， 确 定 其 IPv6 能 力 和 局 限 性 ， 并 确定 为 实现 对 IPv6 的 
支持 所 需 采 取 的 行动 。 确 保 测 试 了 4. 2. 3.5 节 提 到 的 终端 用 户 设备 中 应 用 程序 的 “ 客 
户 ” 端 。 别 忘 了 为 需要 升级 、 补 充 或 更 换 的 应 用 更 新 “下 一 步 的 计划 ” 列 。 
4.2.3.7 客户、 合作 伙伴 和 供应 商 系统 

任何 通过 网 络 与 你 的 业务 交互 的 客户 、 合 作 伙 伴 和 供应 商 的 系统 ， 都 需要 检查 
其 兼容 性 。 在 许多 情况 下 ， 需 要 与 你 的 合作 伙伴 和 供应 商 制定 一 个 计划 ， 以 允许 
IPv6 流量 通过 。 确 定 为 使 合作 伙伴 和 供应 商 系统 符合 IPv6 规定 而 需要 的 具体 升级 和 / 
或 配置 参数 的 变化 ， 并 将 那些 需要 采取 的 行动 记录 在 “下 一 步 的 计划 ” 列 中 。 
4.2.3.8 过 程 、 实 践 与 工作 人 员 准 备 情况 

除了 IP 地 址 和 网 络 基础 设施 之 外 ， 第 三 个 主要 的 评估 领域 就 是 需要 评估 现 
有 的 管理 和 安全 实践 与 过 程 ， 同 时 还 有 IPv6 工作 人 员 的 整体 准备 情况 。 图 4-6 
所 示 为 过 程 与 工作 人 员 准 备 情况 评估 模板 示例 。 

在 对 应 条 目 中 详细 列 出 每 个 过 程 和 工作 人 员 。 对 于 每 个 过 程 ， 确 定 IPv6 是 
否 被 考虑 进去 了 。IPv6 需要 被 以 某 种 形式 添加 到 大 部 分 的 安全 和 管理 过 程 与 实 
践 中 。 根 据 各 自 的 角色 ,工作 人 员 如 果 不 是 IPv6 方面 的 专家 ， 那么 也 要 在 其 他 
对 应 的 方面 非常 精通 。 
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| IPv6 就 绪 或 认证 ? | 混合 IPv6 下 一 步 的 计划 


IT 管理 过 程 


过 程 1 
过 程 2 





安全 过 程 
过 程 1 
过 程 2 








工作 人 员 准 备 情况 
网 络 架 构 师 1 
网 络 工程 师 / 分 析 师 1 
网 络 技术 员 1 
ITH A LEA BI 


图 4-6 过程 与 工作 人 员 准 备 情况 评估 模板 示例 


4.2.3.9 技术 技能 与 知识 

工程 师 培 训 是 IPv6 部 署 的 一 个 重要 组 成 部 分 。 虽 然 也 有 一 些 用 于 IPv6 技术 
培训 的 可 用 资源 ， 但 是 IPv6 论坛 发 起 了 一 项 IPv6 教育 认证 计划 ， 以 促进 IPv6 培 
训 计 划 的 一 致 性 。 该 计划 的 目的 是 帮助 鼓励 和 加 快 IPv6 的 教育 ， 并 促进 加 快 
IPv6 的 采纳 速度 。 有 几 家 厂商 提供 了 Pv6 的 课程 。 要 认 准 具有 IPv6 培训 和 获得 
IPv6 认证 标志 的 课程 的 供应 商 。IPv6 论坛 提供 了 一 个 包含 IPv6 认证 讲师 名 单 的 
数据 库 。 值 得 注意 的 一 些 组 织 如 下 : 

e IPv6college Tonex 的 一 个 业务 部 门 。 

e Nephos6, 

e 0Deploy。 

对 于 每 个 位 置 类 型 ， 列 出 每 一 个 工作 人 员 及 他 /她 的 目前 IPv6 的 专业 知识 水 
平 ， 还 有 达到 所 期 望 的 水 平 所 需要 的 相应 培训 。 如 果 有 工作 人 员 已 经 达到 了 他 
们 位 置 上 所 需 的 IPv6 专业 知识 水 平 ， 那 么 你 就 可 以 不 填 “ 下 一 步 的 计划 ” 列 ， 
否则 在 该 栏 里 注 明 推荐 的 IPv6 培训 课程 。 
4.2.3.10 IT 相关 的 过 程 

每 个 开 组织 都 有 IT 相关 的 过 程 ， 有些 比 其 他 组 织 更 规范 。 如 果 使 用 ITIL 程 
序 来 管理 IT 网络， 那么 你 就 可 以 列举 出 每 个 过 程 域 ， 并 评估 其 IPv6 的 准备 情 
况 。 确 保 你 的 计划 阶段 要 包括 这 些 过 程 ， 并 进行 修正 使 其 包含 IPv6 相关 的 支持 。 
在 “下 一 步 的 计划 ”中 ， 要 对 每 个 过 程 定义 需要 更 新 的 文档 ， 以 及 与 受 影响 团 
队 所 需 的 通信 沟通 。 
4.2.3.11 安全 策略 、 体 系 架构 和 实践 

虽然 IPv6 是 将 安全 性 考虑 在 内 进行 开发 的 ， 但 把 ITPv6 引入 到 网 络 中 仍 将 对 
网 络 现 有 的 安全 性 提出 重大 的 挑战 。 你 组 织 的 安全 架构 需要 进行 审查 和 修改 以 
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使 其 包括 IPv6 。 本 书 第 6 章 将 对 安全 系统 配置 方面 详细 地 讨论 安全 性 。 而 此 时 ， 
先 确认 能 够 处 理 IPv6 数据 报 。 当 读本 书 第 6 章 时 ， 你 可 能 会 发 现 需 要 详细 的 过 
滤 功 能 ， 以 推动 进一步 细 化 对 升级 或 替换 安全 人 硬件 与 /或 软件 的 评估 。 审 查 并 评 
估 以 下 方面 : 

。 IPv4 部 署 架构 问题 。 审 查 与 你 的 部 署 类 型 有 关 的 具体 漏洞 ， 这 将 作为 一 
个 重要 的 安全 基线 。 

© IPv6 入 侵 检测 系统 。 

© IPv6 防火 墙 能 

e 专门 针对 IPv6 安全 的 软件 /硬件 补丁 。 

图 4-7 所 示 为 已 部 分 完成 的 过 程 和 工作 人 员 评 佑 示例 。 













功能 域 项 目 IPv6 就 绪 或 认证 ? 


EE: = 
发 布 管理 过 程 文档 已 更 新 ; 需要 实验 验证 


[| PO 配置 方面 需要 被 加 到 这 一 过 程 ,并 测试 
[| | 


| | 
PE a ea 
监控 防火 墙 日 志 | 更 新 了 IPv6 策 略 | 需要 运行 测试 用 例 来 验证 防火 墙 日 志 并 记录 方法 和 步 又 


| Be 更 新 了 IPv6 策 略 | 在 部 署 之 前 需要 在 实验 室 进行 测试 


工作 人 员 准 备 情 况 

| lSteveJones | 是 |2010 年 获得 认证 一 可 参加 一 个 进修 班 

[May Thompson 是 | 2012 年 获得 认证 
Julia Starkly 否 安排 培训 一 概述 ， 网 络 工程 

Greg Libar 否 安排 培训 一 概述 ， 网 络 工程 

Mark Alexander T 安排 培训 一 概述 ， 帮 助 台 


图 4-7 已 部 分 完成 的 过 程 与 工作 人 员 评 佑 示例 


混合 IPv6 下 一 步 的 计划 




















































4.3 IPv6 待 办 事件 清单 


一 且 完 成 了 评估 阶段 ， 你 应 该 有 一 份 网 络 中 所 有 硬件 、 软 件 、 应 用 和 终端 
用 户 设备 的 统一 详细 说 明 。 在 每 份 完 成 的 评估 模板 中 , “下 一 步 的 计划 ” 列 提 
供 了 一 份 关 于 所 有 需要 路 不 同 部 门 的 下 一 步行 动 内 容 的 摘要 。 基 于 对 每 个 这 
些 项 目的 评估 ， 为 每 个 需要 进行 升级 、 更 换 、 补 充 或 实验 室 采购 ， 从 而 实现 
遵守 IPv6 和 /或 支持 IPv6 部 署 测试 的 项 目 。 你 可 以 创建 一 个 IPv6 的 补救 或 
“ 待 办 事项 ”列表 。 过 程 更 新 和 培训 的 下 一 步 的 计划 也 是 待 办 事件 列表 的 关键 
部 分 。 

对 于 那些 需要 采购 的 待 办 项 目 ， 你 可 以 生成 一 个 需要 定价 的 采购 清单 。 定 
价 需要 在 一 个 较 高 的 水 平 上 ， 以 确定 潜在 的 资本 成 本 。 随 着 收集 到 了 更 多 的 细 
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节 ， 该 信息 应 该 被 反馈 到 实际 的 业务 案例 中 ， 从 而 进一步 优化 完善 。 由 于 高 成 
本 或 缺乏 利益 的 缘故 ， UT 
的 元 素 ”应 当 记录 在 你 的 网 络 资源 库 中 。 为 了 保持 在 预算 内 ， 你 可 能 还 需要 相 
应 缩减 所 需 的 实验 室 采 购 开 销 。 理 想 情 况 下 ， 你 应 该 要 优先 考虑 采购 清单 ， 从 
而 在 必要 时 帮助 确定 从 最 好 的 情况 到 必要 的 最 低 投 入 资金 的 范围 。 你 的 采购 清 
! 内 的 关键 利益 相关 者 以 获取 批准 。 不 要 忘记 利用 上 你 IT 
组 织 内 的 计算 更 新 时 间 间 隔 。 发 生 在 大 多 数组 织 内 的 正常 的 IT 更 新 可 以 被 充分 
的 利用 ， 并 与 已 有 的 整个 开 计划 保持 一 致 。 





4.4 IPv6 准备 情况 评估 总 结 


图 4-8 所 示 的 IPv6 准备 情况 评估 基本 过 程 ， 以 流程 图 的 形式 进行 了 总 结 。 
清查 你 的 IP 网 络 和 包括 过 程 与 人 在 内 的 支撑 结构 的 方方面面 ， 对 于 定义 你 的 出 
发 点 及 在 你 的 网 络 和 /或 你 所 选择 的 网 络 范围 的 内 部 署 IPv6 的 所 做 的 事项 来 说 ， 
是 非常 关键 的 。 


开始 IPv6 
准备 情况 
评估 过 程 














能 的 趋势 或 
补救 措施 






确定 IPv6 功 | 


为 补救 措施 
确定 时 间 、 
人 员 、 资金、 
费用 





图 4-8 IPv6 准备 情况 评估 基本 过 程 


第 5 Ft IPv6 地 址 规划 


IPv6 准备 情况 评估 阶段 输出 的 是 一 个 完整 的 网 络 库存 清单 ， 列 出 所 有 的 基 
础 设施 和 用 户 设备 ， 以 及 IPv4 和 IPv6 地 址 分 配 的 库存 。 对 应 网 络 中 的 地 址 块 
(聚合 ) ， 子 网 和 DHCP 地 址 池 ， 该 耳 地 址 库存 清单 应 该 可 以 被 拓扑 映射 到 卫 网 
络 中 。 许 多 卫 地 址 管理 (IPAM) 解决 方案 集成 了 这 个 功能 ， 所 以 发 现 过 程 仅 是 
验证 IPAM 数据 库 。 如 果 你 还 未 利用 IPAM 解决 方案 ， 或 你 的 IPAM 解决 方案 从 
地 址 块 到 子 网 再 到 地 址 池 或 单个 地 址 的 分 配 都 不 覆盖 完整 的 IP 地 址 的 生命 周期 ， 
那么 这 个 映射 将 需要 手动 进行 。 如果 地 址 块 和 子 网 的 分 配 已 记录 在 电子 表格 或 
其 他 存储 库 中 ， 则 这 项 信息 将 是 此 过 程 很 有 用 的 输入 。 

首先 需要 一 个 自 顶 向 下 的 IP 地 址 规划 作为 IPv4“ 计 划 ” 的 基线 ， 从 而 为 你 
的 IPv6 地 址 的 覆盖 过 程 提供 坚实 的 基础 。 你 的 IPv6 覆盖 程度 将 取决 于 所 选择 的 
部 署 范围 。 如 果 打 算 操 作 一 个 完全 双 协 议 栈 的 网 络 ， 那 就 需要 在 你 具有 IPv4 的 
所 有 地 方 分 配 IPv6 空间 。 如 果 最 初 计 划 只 是 在 面向 因特网 的 基础 设施 上 支持 
IPv6， 那 分 配 将 被 限制 在 你 网 络 的 这 个 子 集 中 。 合 作 伙 伴 链 接 的 支持 ， 是 需要 考 
虑 分 配 的 问题 ， 同 时 也 要 尽 可 能 考虑 对 本 书 第 3 章 讨论 过 的 隧道 和 翻译 技术 的 
支持 。 不 管 怎样 ， 你 的 IPv6 覆盖 将 以 从 RIR 或 ISP 获得 的 地 址 块 开 始 。 下 面 将 
详细 介绍 这 个 IPv6 地 址 的 层次 结构 。 






































5.1 因特网 注册 管理 机 构 


IP 地 址 在 一 个 给 定 的 网 络 中 必须 是 唯一 的 2 ， 才 能 进行 正确 的 路 由 与 通信 。 
那么 怎么 在 整个 全 球 因特网 中 保证 这 个 唯一 性 呢 7 IANA 为 [Pv4 和 IPv6 负责 其 
IP 地 址 空间 的 全 局 分 配 ; 同时 还 有 用 于 TCPZIP 的 其 他 参数 的 分 配 ， 如 应 用 程序 
的 端口 号 。 实 际 上 ， 你 可 以 通过 浏览 www. iana. org 网 站 并 在 对 应 数字 资源 下 选 
择 “IPv4 地 址 空间 ”或 “IPv6 地 址 空间 ”来 查看 这 些 顶级 分 配 571 。 

IANA 本 质 上 是 最 上 层 的 地 址 注册 机 构 ， 它 将 地 址 空间 分 配给 多 个 RIR。 本 
书 第 1 章 已 经 介绍 过 的 RIR， 它 是 负责 将 从 IANA 获取 到 的 对 应 的 地 址 空间 分 配 
给 其 各 自 的 全 球 地 区 组 织 ， 为 方便 起 见 ， 下 面 列 出 了 各 RIR 组 织 。 














一 陈述 的 一 个 例外 是 任 播 地 址 通常 是 分 配给 多 个 主机 的 ， 而 多 播 地 址 同样 也 是 共享 的 。 本 语句 


OR 
适用 于 单 播 地 址 。 
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e 非洲 网 络 信息 中 心 ( African Network Information Centre, AfriNIC) 。 非洲 
WK”, 

e 亚太 网 络 信息 中 心 (Asia Pacific Network Information Centre ，APNIC ) 。 亚 
MKPK 。 

e 美 网 因特网 地 址 注册 管理 组 织 (American Registry for Internet Numbers, 
ARIN ) 。 北 美 地 区 ， 包 括 波多 黎 各 和 部 分 加 勒 比 地 区 -1 。 

。 拉丁 美洲 和 加 勒 比 地 区 IP 地 址 注册 管理 机 构 (Regional Latin American 
and Caribbean IP Address Registry, LACNIC) 。 ATÆ LORE 77! , 

e 欧洲 下 网 络 资讯 中 心 (Reseaux IP Europeens Network Coordination Centre, 
RIPE NCC), BW, PRAP, 

RIR 系统 的 目标 如 下 : 

。 唯一 性 。 每 个 用 于 全 球 因特网 路 由 的 IP 地 址 必须 是 全 世界 唯一 的 。 

。 注册 。 一 个 可 公开 访问 的 IP 地 址 分 配 的 注册 表 ， 能 够 消除 卜 义 ， 并 在 解 
决 纷争 时 提供 帮助 。 这 个 注册 表 被 称 为 查询 数据 库 。 如 今 已 有 很 多 的 查询 数据 
Pe, 不 仅 由 RIR 管理 ， 同 时 也 由 LIR/ISP 管理 各 自 的 地 址 空间 。 

。 聚合 性 。 分 层 分 配 地 址 空间 ， 以 确保 IP 流量 的 正确 路 由 。 如 果 没 有 聚合 
性 ， 路 由 表 将 会 变 得 文 离 破碎， 最终 可 能 会 在 因特网 中 造成 巨大 瓶颈 。 聚 合 性 
被 认为 是 IPv6 分 配 最 重要 的 目标 。 

。 避免 浪费 。 特 别 是 对 于 了 4 ， 但 对 IPv6 也 一 样 ， 地 址 空间 需要 根据 实际 
使 用 情况 的 要 求 进 行 分 配 。 

。 公平 性 。 在 真实 地 址 需求 而 非 长 期 “计划 ”的 基础 上 公平 地 进行 地 址 
分 配 。 

。 简化 管理 开销 。 简 化 请 求 和 获取 初始 分 配 与 后 续 分 配 的 过 程 。 

每 个 组 织 要 遵循 这 些 目 标 做 好 它们 自己 的 网 络 ， 特 别 是 唯一 性 、 注 册 R 
踪 )、 聚 合 性 和 避免 浪费 这 几 点 。 本 章 将 讨论 的 分 配方 法 ， 类 似 把 地 址 块 分 配给 
RIR ， 再 通过 RIR 分 配给 国家 或 地 方 的 互联 网 注册 管理 机 构 ， 然 后 再 依次 分 配给 服 
务 提供 商 和 终端 用 户 。RIR 的 分 配 指 南 记录 见 REC 2050 (本 书 参考 文献 [4])。 
一 般 的 地 址 分 配 层次 结构 是 自 顶 向 下 的 IP 地 址 分 配 ， 如 图 5-1 所 示 。 国 家 互联 网 
注册 管理 机 构 类 似 地 方 互联 网 注册 管理 机 构 , 但 是 在 国家 层面 上 组 织 的 。 

早 在 20 世纪 80 年 代 和 90 年 代 初 ， 许 多 企业 (图 5-1 所 示 的 终端 用 户 ) 都 
是 直接 从 RIR 获得 地 址 空间 的 。 然 而 ， 在 转变 为 CIDR 寻 址 以 提供 进一步 的 地 址 
分 配 责任 下 放 的 过 程 中 ， 额 外 的 LIR/ISP 层 被 加 入 进来 了 。 如 今 ， 大 部 分 组 织 都 
是 从 LIR 或 ISP 获取 地 址 空间 的 。 尽 管 RIR 推荐 使 用 一 致 性 策略 以 最 大 限度 地 
提高 效率 ， 获 取 这 些 地 址 空间 的 过 程 一 般 是 由 与 你 有 业务 往来 的 LIR/ISP 决 
定 的 。 
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图 $-1 自 顶 向 下 的 IP doko el 


当空 间 被 分 配给 一 个 ISP 时 , 该 ISP 可 能 就 会 在 因特网 上 公布 其 地 址 空间 。 
加 入 的 LIR/ISP 层 有 助 于 在 因特网 上 的 路 由 聚合 。 由 相同 ISP 服务 的 多 个 客户 在 
因特网 上 可 以 归纳 为 一 个 路 由 。 如 果 业 务 发 展 良 好 ， 且 LIRIS 需要 更 多 的 地 址 
空间 ， 则 其 可 以 从 它们 的 RIR 那里 申请 额外 的 空间 。 每 个 RIR 一 般 都 有 为 满足 
地 址 请 求 而 自 定 义 的 过 程 ， 因 此 ， 请 咨询 你 所 在 地 区 的 RIR 以 获取 更 多 细节 。 


5.1.1 RIR 地 址 分 配 策略 


从 RIR 角度 上 看 ，RIR 分 配 地 址 空间 给 多 个 LIRZISP， 然 后 LIR/ISP 再 把 地 
址 空间 指派 给 它们 的 客户 。 从 技术 上 讲 ， 术 语 分 配 是 指 对 于 一 个 IP 地 址 块 ， 将 
其 作为 一 个 地 址 空间 “ 池 ”， 可 以 从 这 个 地 址 空间 “ 池 ” 提 取 地 址 指派 给 客户 。 
之 后 ， 客 户 就 可 以 使 用 已 分 配 的 地 址 空间 ， 从 中 分 配 块 和 子 网 ， 然 后 从 已 分 配 
的 子 网 中 指派 IP 地 址 给 单个 主机 。 这 种 分 配 和 指派 机 制 是 基于 即将 在 本 章 描 述 
的 过 程 的 ， 其 与 层次 分 配 过 程 是 一 致 的 。 然 而 ，RIR 是 将 分 配 的 空间 与 指派 的 
空间 区 分 开 来 的 ， 因 为 指派 的 空间 包含 正在 使 用 的 地 址 ;而 分 配 的 空间 是 用 于 
进行 分 配 的 地 址 池 ， 一 开始 为 未 使 用 , 但 理论 上 随 着 时 间 的 推移 和 指派 空间 数 
量 的 增长 ， 其 利用 率 也 会 随 着 增长 。 从 技术 上 讲 ，RIR 将 分 配 的 空间 与 指派 的 
空间 都 看 成 是 在 使 用 中 的 ,但 保留 了 审计 实际 地 址 利用 率 能 力 ， 以 便 处 理 每 个 
LIR/ISP 后 续 的 额外 分 配 请 求 。 


5.1.2 地 址 分 配 效 率 


在 IPv6 开发 期 间 ， 许 多 研究 都 是 集中 在 128 位 地 址 大 小 。 虽 然 IPv4 提供 了 
一 个 32 位 的 地 址 字段 ， 从 而 提供 了 理论 上 最 大 的 2” 个 地 址 或 超过 42 亿 个 的 地 
址 ， 但 实际 上 理论 的 最 大 值 远 远 小 于 42 亿 。 这 是 由 于 地 址 空间 的 分 配 是 从 网 络 
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的 多 个 层次 ， 然 后 是 子 网 ， 最 后 是 主机 进行 分 层 分 配 的 。RFC 1715 (BABS 
考 文献 [79]) 提供 了 一 种 分 析 地 址 分 配 效 率 的 方法 ， 提 出 了 将 一 个 对 数 函 数 式 
作为 分 配 效 率 的 度量 ， 将 其 定义 为 HH 比率 : 
_ logy) 对 象 的 数目 ) 
”可 用 位 的 数目 
根据 网 站 “因特网 世界 统计 ”的 数据 "7 ， 如 今 有 大 概 24 亿 的 网 络 用 户 ， 因 
此 现在 的 互 比 率 为 0.293。42 亿 了 下 地 址 的 100 和 利用 率 对 应 的 H 比率 为 0.301， 
因此 现在 的 日 比率 相对 来 讲 已 经 很 高 了 。 
IPv6 具有 庞大 的 地 址 空间 ， 其 分 配 效 率 通过 HD 比率 进行 计算 : 
o logo (分 配对 象 的 数目 ) 
”logio( 可 分 配对 象 的 最 大 数目 ) 
度量 IPv6 的 HD 比率 公式 中 的 “对 象 ” 指 的 是 已 分 配 的 IPv6 块 地 址 (/48s) , 
这 是 用 一 个 给 定 大 小 的 IPv6 前 级 进行 分 配 的 。 这 些 /48 地 址 块 是 LIRAISP 要 分 配 
给 每 个 终端 用 户 的 。 所以， 如果 一 个 具有 /32 地 址 分 配 的 LIR/ISP 已 经 分 配 了 100 
个 /48 地 址 块 ， 那么 其 HD 比率 为 logo (100)/logio(65536) =0. 415。 




















5.2 IPv6 地 址 规划 





在 一 个 组 织 内 进行 IP 地 址 分 配 的 主要 目的 是 为 每 个 网 络 内 的 终端 节点 提供 
IP 地 址 ， 使 得 这 些 节 点 能 够 使 用 各 种 各 样 的 媒体 ( 数据、 语音、 视频 等 ) 与 网 
络 内 的 其 他 节点 (也 可 能 不 是 ) 及 因特网 节点 (也 可 能 不 是 ) 进行 通信 。 除 了 
考虑 终端 用 户 的 寻 址 需求 外 ， 你 的 地 址 分 配方 案 也 必须 考虑 网 络 运行 ， 以 促进 
网 络 的 管理 和 安全 ， 这 意味 着 是 允许 在 内 部 进行 通信 或 者 是 能 够 与 因特网 节点 
进行 通信 。 

首先 要 检查 第 二 支持 者 的 需求 ， 即 网 络 运 营 团 队 的 需求 ， 考 虑 地 址 规划 如 
何 对 路 由 器 和 防火 墙 的 设置 与 策略 产生 影响 。 如 果 能 简单 地 由 被 管 设备 的 全 地 
址 确定 有 关 设 备 的 信息 ， 那 么 网 络 就 更 容易 管理 了 。 例 如 ,在 IPv4 的 世界 里 ， 
大 部 分 地 址 规划 者 都 会 为 每 个 子 网 的 路 由 器 分 配 地 址 “. 1”; 如 果 使 用 更 少 地 址 
相关 的 条 日 来 定义 诸如 与 访问 控制 列表 (Access Control List, ACL) 或 路 由 处 理 
(如 语音 与 数据 报 处 理 ) 相关 的 策略 ， 那 么 网 络 、 路 由 和 安全 策略 也 会 更 容易 管 
理 。 例 如 ， 一 些 组 织 定义 了 各 种 地 址 “类 型 ”， 以 反映 分 配给 基于 应 用 程序 的 数 
据 报 处 理 的 地 址 空间 。 通 过 充分 的 规划 再 加 上 可 能 的 一 些 运 气 ，IP 地 址 空间 就 
会 更 容易 管理 ， 而 且 无 需 重新 编码 ， 经 过 多 年 后 地 址 层次 结构 还 能 够 保持 完好 ， 
而 重新 编码 的 确 是 一 件 很 痛苦 的 事 。 

用 户 群 体 主 要 为 终端 办 公 室 或 网 络 的 “ 叶 节 点 (leaf node)” 所 需 的 每 种 
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类 型 的 地 址 空间 ， 推 行 整个 网 络 拓扑 的 分 配 标 准 。 在 梯 承 独立 性 、 至 合 性 和 
避免 浪费 的 主要 目标 的 同时 ， 地 址 规划 者 必须 为 每 一 种 地 址 类 型 分 配 足 够 的 
空间 以 满足 容量 需求 。 正 如 将 要 介绍 的 分 配 的 例子 ,在 制订 地 址 分 配 计划 和 
分 层 时 ， 你 不 得 不 考虑 取舍 的 问题 。 但 首先 要 考虑 各 种 不 同 的 IPv6 地 址 分 配 
方法 。 

在 部 署 IPv6 的 过 程 中 ， 一 个 重要 步 又 就 是 从 你 的 RIR 或 ISP 请 求 一 个 IPv6 
地 址 块 。 虽然 IPv6 地 址 与 IPv4 地 址 的 表示 方式 不 同 ， 但 在 网 络 中 的 分 配 过 程 本 
质 上 是 相同 的 。 主 要 的 不 同 是 IPv4 是 在 十 进 制 与 二 进 制 之 间 转 换 ， 而 IPv6 是 在 
十 六 进 制 与 二 进 制 之 间 转 换 。 通 常用 于 IPv4 分 配 的 最 小 可 用 空闲 块 的 最 优 分 配 
过 程 ， 其 实 就 是 最 佳 分 配 算法 。 由 于 可 用 地 址 空间 的 巨大 差异 ，IPv6 不 仅 支 持 
一 个 类 似 的 最 佳 分 配 算法 ， 同 时 也 支持 一 种 稀 玻 的 分 配方 法 。 后 面 将 讨论 这 种 
稀 玻 的 分 配方 法 ， 以 及 一 个 可 用 来 代替 编号 从 1 开始 计数 的 简单 子 网 编码 的 随 
机 分 配方 法 。 下 面 会 先 谈 谈 这 些 分 配方 法 ， 然 后 回 到 如 何 从 实践 的 角度 将 这 些 
方法 应 用 到 你 的 IPv6 地 址 计划 中 。 

















5.3 IPv6 地 址 分 配方 法 ° 





IPv6 和 IPv4 分 配 过 程 本 质 上 是 相同 的 ， 稍 后 会 讨论 一 些 捷径 。 最 优 的 地 址 
块 分 配方 法 需要 最 小 可 用 空闲 块 的 分 配 ， 这 种 方法 被 称 为 最 佳 分 配 算法 。 由 于 
有 庞大 的 可 用 IPv6 地 址 空间 ， 严 格 应 用 最 佳 分 配 算法 可 能 是 不 必要 的 。 

IETF 还 定义 了 一 个 稀 玻 的 IPv6 地 址 分 配方 法 ， 用 于 分 配 大 小 相等 的 块 ， 而 
随 着 空间 的 增长 ， 用 随机 分 配方 法 来 代替 编号 从 1 开始 计数 的 简单 子 网 编码 。 

下 面 将 通过 使 用 一 个 IPv6 网 络 2001: db8: : /32 的 例子 来 说 明 这 些 算法 。 实 
际 上 ， 一 个 /32 (或 任何 一 个 ) 大 小 的 全 球 单 播 分 配 需要 一 个 区 域 因 特 网 注册 管 
理 机 构 的 资格 预审 ， 一 个 中 等 规模 的 企业 组 织 不 太 可 能 会 收 到 这 样 的 分 配 。 然 
而 ， 例 子 将 使 用 这 个 分 配 ， 以 防止 地 址 位 数 太 长 ， 以 至 于 相关 内 容 占 用 太 多 篇 
幅 。 稍 后 ， 下 面 将 介绍 一 个 更 实际 的 /48 的 分 配 例子 。 算 法 不 管 以 /32 或 是 以 
/48 的 分 配 开始 都 是 等 效 的 ， 只 是 在 /48 网 络 中 将 会 有 更 多 的 前 级 。 


5.3.1 最 佳 分 配方 法 


最 佳 分 配方 法 力求 用 最 小 的 可 用 地 址 块 来 分 配 所 需 的 块 大 小 。 如 果 你 使 用 
的 是 大 小 相等 的 块 分 配 (为 简单 起 见 建议 如 此 ， 稍 后 将 介绍 ) ， 这 种 方法 很 简 
单 。 然 而 ， 为 了 最 优 地 分 配 地 址 空间 ， 分 配 的 块 应 该 不 大 于 所 需 的 大 小 。 因 此 ， 























名 ”这 部 分 对 IPv6 分 配 的 讨论 是 基于 本 书 参 考 文献 [81] 的 。 
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你 可 以 在 一 次 分 配 中 分 配 一 个 /56 的 块 ， 然 后 在 男 一 次 分 配 中 分 配 /61 的 块 。 现 
在 这 种 方法 通常 用 于 IPv4 的 块 分 配 ， 因 为 存在 节约 地 址 空间 的 必要 性 。 这 个 需 
求 对 具有 巨大 地 址 空间 的 IPv6 而 言 是 不 迫切 的 ,但 尽管 如 此 下 面 也 会 说 明 这 个 
最 佳 分 配方 法 过 程 。 
最 佳 分 配方 法 需要 在 你 的 地 址 层次 结构 中 选择 一 个 空闲 的 “ 父 ” 块 ， 使 其 
能 够 完全 满足 所 需 的 大 小 或 者 是 更 大 尺寸 的 最 小 块 。 除 非 你 能 在 你 的 大 脑 中 进 
行 十 六 进 制 的 计算 ， 不然 这 种 方法 通常 需要 在 二 进 制 域 中 进行 分 配 。 这 是 由 于 
需要 跟踪 从 相等 或 更 大 的 块 中 分 配 可 变 大 小 的 块 。 从 稍 后 的 例子 中 可 以 看 到 ， 
这 种 处 理 的 结果 是 除了 分 配 所 需 的 块 外 ， 也 会 有 更 多 空闲 的 块 ， 其 本 身 可 能 会 
进一步 被 分 配 或 被 瓜分 。 通 过 网 络 2001: 0db8 : : /32 的 例子 ， 仔 细 看 看 这 到 底 是 
如 何 发 生 的 ， 以 下 以 二 进 制 的 格式 对 其 进行 展开 【部 分 地 ] : 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000::- 
现在 假设 需要 从 这 个 /32 的 空间 中 分 配 3 个 /40 的 网 络 。 如 果 把 /32 可 用 地 
址 空间 认为 是 一 个 可 用 来 分 配 的 饼 ， 那么 就 可 以 对 其 进行 分 割 。 将 饼 对 半 切 割 
从 而 产生 两 个 /33 的 块 ， 列 在 第 一 个 的 是 2001: db8::/33， 列 在 第 二 个 的 是 
2001 ; db8 ; 8000: : /33, 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 1000 0000 0000 0000 0000--- 
原封 不 动 地 留 下 后 半 部 分 2001: db8 : 8000; : /33， 以 提供 尽 可 能 大 的 块 用 于 
后 续 的 分 配 请 求 。 同 时 ， 将 2001; db8: : /33 部 分 分 割 成 两 个 /34 的 块 ， 分 别 是 
2001: db8::/34 和 2001: db8:4000::/34， 即 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000… 
0010 0000 0000 0001 0000 1101 1011 1000 0100 0000 0000 0000 0000--- 
现在 原封 不 动 地 留 下 块 2001: db8 : 4000; : /34， 继 续 分 割 块 2001: db8 ; : /34 
为 两 个 /35 的 块 ， 一 直 这 样 分 割 下 去 直到 得 到 了 一 对 /40 的 块 ， 过 程 如 下 : 
0010 0000 0000 0001 0000 1101 1011 1000 1000 0000 0000 0000 0000::- 
0010 0000 0000 0001 0000 1101 1011 1000 0100 0000 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0010 0000 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0001 0000 0000 0000 0000… 
0010 0000 0000 0001 0000 1101 1011 1000 0000 1000 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0100 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0001 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000--- 
这 样 ， 最 佳 分 配方 法 依次 减 半 地 址 空间 以 降 到 所 需 的 大 小 。 在 本 例子 中 ， 
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现在 有 两 个 可 用 的 /40 网 络 了 (上 面 的 阴影 部 分 ) 。 将 其 转换 回 十 六 进 制 就 是 
2001 : db8 : 100: : /40 与 2001: db8: : /40。 为 了 使 用 最 佳 分 配方 法 分 配 所 需 的 第 
三 个 /40 块 ， 可 以 采用 下 一 个 最 小 的 可 用 网 络 ， 在 这 个 例子 中 就 是 2001: db8: 
200:: /39， 并 将 其 分 割 为 两 个 /40: 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 0000--- 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0011 0000 0000 0000--- 
通过 给 下 一 个 位 赋值 来 将 其 进行 对 半分 制 ， 产 生 了 两 个 /40 块 。 可 以 选择 一 
个 用 于 分 配 ， 而 另 一 个 将 留 下 在 以 后 分 配 。 因 此 ， 分 配 的 三 个 /40 块 为 2001 : 
db8;:/40, 2001: db8: 100:;/40 和 2001: db8:200::/40。 而 男 一 个 /40 的 块 ， 
也 就 是 2001: db8: 300;:/40， 可 用 于 以 后 的 分 配 。 图 5-2 所 示 从 1 个 /32 网 络 中 
分 割 出 3 个 /40 网 络 分 配 结果 ， 图 中 用 饼 状 图 的 形式 说 明了 这 个 依次 减 半 的 



































整个 饼 图 : 2001:db8::/32 
7.9X1028 个 也 地址 





2001:db8:4000::/34 
210284. 1P Hi HE 







2001:db8:8000::/33 
4X102 个 IP 地 址 È 













2001:db8:2000::/35 
1X1023 个 IP 地 址 


2001:db8:1000::/36 
5X1027 个 IP 地 址 
2001:db8:800::/37 
2.5X1027 个 IP 地 址 
2001:db8:400::/38 

1X 102744 TP dh HE 
2001:db8:300::/40 

3X 107648 1P Hist 


图 $-2 ”从 1 个 /32 网 络 中 分 制 出 3 个 /40 网络 的 分 配 结果 


2001:db8::/40 
2001:db8:100::/40 
2001:db8:200::/40 
3X102 个 IP 地 址 (每 个 ) 











当 随 后 的 分 配 请 求 中 出 现 了 一 个 /40、/38、/37、/36、/35、/34 或 者 /33 大 
小 的 块 时 ， 有 随时 可 供 分 配 的 块 来 提供 请 求 的 地 址 容量 ， 而 无 需 分 配 多 个 可 能 
不 连续 的 块 。 对 于 一 个 其 他 大 小 的 块 的 请 求 ， 如 一 个 /44 的 块 ， 可 以 根据 上 面 的 
分 配 过 程 以 最 小 的 空闲 块 2001: db8 : 3000: : /40 开始 进行 分 配 。 

当 可 变 块 大 小 根据 策略 进行 分 配 时 ， 最 佳 分 配方 法 保留 了 较 大 的 块 。 这 种 
方法 虽然 算法 复杂 度 较 高 ， 但 其 最 好 地 利用 了 可 用 地 址 容量 。 因 此 对 帮助 服务 
提供 商 最 大 化 地 址 利用 率 来 说 可 能 是 很 有 意义 的 ， 但 大 多 数 企 业 可 能 会 寻求 其 
他 下 面 将 会 描述 的 更 易于 管理 的 方法 。 
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5.3.2 ARANMA 


在 之 前 的 从 一 个 /32 块 中 分 配 一 个 /40 的 块 的 算法 中 你 会 发 现 ， 网 络 的 长 度 
逐渐 扩展 到 第 40 位 ; 然后 通过 给 网 络 的 第 40 位 赋值 0 或 1 作为 一 开始 的 两 个 
/40 网 络 。 从 本 质 上 讲 ， 这 里 依次 处 理 了 每 个 位 ， 考 虑 将 “1” 作 为 空闲 块 而 将 
“0” 作 为 分 配 的 块 。 然 而 ， 如 果 退 后 一 步 ， 将 扩展 /32 到 /40 作为 一 个 整体 来 考 
虑 8 ATAID 位 ， 而 不 是 递增 地 减 半 网 络 ， 实 际 上 是 通过 对 子 网 ID 字段 进行 编 
号 或 计数 来 分 配子 网 的 ， 正 如 下 面 的 阴影 的 加 粗 斜体 位 所 示 : 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000…2001 : 
db 8; : /40 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0001 0000 0000 0000---2001 : 
db 8; 100; ; /40 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 0000…2001: db 
db 8; 200; ; /40 

因此 ， 如 果 你 事先 知道 原始 的 /32 网 络 将 仅 被 分 割 成 均匀 的 [40 大 小 的 块 ， 
那么 就 可 以 使 用 仅 递增 子 网 ID 位 的 更 简单 的 分 配方 法 。 下 一 个 位 /40 块 分 配 的 
子 网 ID 的 值 是 0000 0011 , 0000 0100 、0000 0101 ， 以 此 类 推 。 

在 某 些 网 络 中 地 址 分 配 效率 是 最 重要 的 ， 这 种 同样 大 小 块 的 均匀 性 分 配 策 
略 可 能 不 适用 ， 所 以 逐次 减 半 的 最 佳 分 配方 法 可 能 会 更 合适 。 但 从 另 一 方面 讲 ， 
稀 玻 分 配方 法 提供 了 一 种 更 简单 的 方法 ， 并 产生 了 虽 非 最 优 但 却 类 似 的 好 处 。 
稀 疏 分 配方 法 旨 在 使 分 配 空间 之 间 的 地 址 空间 最 大 化 ， 以 提供 空间 的 增长 。 稀 
玻 的 分 配方 法 也 有 着 对 半分 配 可 用 地 址 空间 的 作用 ， 但 不 是 持续 这 个 过 程 直到 
下 降 到 最 小 的 大 小 ， 它 需要 在 新 的 一 半 的 边缘 上 分 配 下 一 个 块 。 这 样 导 致 分配 
被 散布 开 ， 而 不 是 最 优 的 分 配 。 另 外 ， 其 基本 原理 就 是 这 种 方法 在 丰富 的 IPv6 
空间 中 ， 通 过 在 分 配 之 间 留 下 足够 的 空间 以 为 分 配 的 网 络 提供 增长 的 空间 。 考 
虑 这 样 一 个 例子 ， 从 2001: db8: : /32 的 空间 中 分 配 3 个 /40 块 就 会 像 这 样 ; 

0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000…2001 : 
db 8; : /40 

0010 0000 0000 0001 0000 1101 1011 1000 1000 0000 0000 0000 0000---2001 : 
db 8; 8000; ; /40 

0010 0000 0000 0001 0000 1101 1011 1000 0100 0000 0000 0000 0000…2001: db 
db 8; 4000; ; /40 

这 分 别 转换 为 2001: db8:;/40, 2001; db8: 8000: ; /40 和 2001; db8; 4000: ; 
/40。 这 种 分 配 可 以 使 地 址 空间 散布 开 ， 如 图 5-3 所 示 。 如 果 2001; db8 
8000 : : /40 网 络 的 接收 者 需要 一 个 额外 的 分 配 ， 可 以 为 其 分 配 一 个 连续 的 或 相 
























































110 IPv6 部 署 和 管理 





邻 的 块 ， 即 2001: db8 : 8100 : : /40 。 这 个 块 在 稀 踊 分 配方 法 下 将 会 是 最 后 被 分 
配 的 ， 所 以 它 很 有 可 能 是 可 用 的 。 在 这 种 情况 下 ， 两 个 连续 块 的 接收 者 就 可 
以 将 它们 的 地 址 空间 识别 (或 公布 ) 为 2001: db8 ; 8000; ; /39, TER, KEW 
子 网 DD 位 是 从 左 到 右 进行 计数 的 ， 而 不 是 用 于 “正常 ”传统 计数 从 右 到 左 的 
方法 。 





整个 饼 图 : 2001:db8::/32 
7.9X1023 个 IP 地 址 


2001:db8:8000::/40 
X10 个 IP 地 址 





2001:db8:4000::/40 
3X1026 个 IP 地 址 


2001:db8::/40 
3X1026 个 IP 地 址 


图 5-3 Fim 


RFC 3531 ( 即 本 书 参 考 文献 [ 82 ] ) 描述 了 稀 朴 分 配方 法 。 由 于 网 络 分 配 
期 望 遵循 一 个 多 层 的 分 配 层 次 ， 为 了 连续 地 分 配 ， 不 同 的 实体 可 以 使 用 多 个 连 
续 网 络 位 的 集合 。 例 如 ， 一 个 因特网 注册 管理 机 构 可 能 会 分 配 第 一 个 块 给 一 个 
区 域 注 册 机 构 ， 该 机 构 同 样 也 会 从 该 空间 中 分 配 块 给 一 个 服务 提供 商 ， 服 务 提 
供 商 则 可 能 会 从 该 子 空间 中 分 配 块 给 客户 ， 而 客户 就 可 以 在 其 网 络 中 进一步 分 
fic, RFC 3531 建议 较 高 级 别 的 分 配 ， 如 注册 管理 机 构 的 分 配 ， 使 用 最 左边 开始 
计数 或 稀 玻 分 配 ， 最 低级 别 的 分 配 则 使 用 最 右边 开始 计数 或 最 优 分 配 ， 而 其 他 
中 间 级 别 的 分 配 使 用 任 一 种 缘 可 ， 或 者 甚至 是 一 种 最 中 心 的 分 配方 案 。 对 于 一 
个 企业 组 织 ， 可 以 使 用 稀疏 分 配方 法 来 分 配 洲际 或 核心 网 络 ; 在 最 顶层 ， 不 要 
过 量 使 用 地 址 空间 ， 从 而 为 未 来 的 增长 留 出 空间 。 


5.3.3 随机 分 配方 法 


随机 分 配方 法 随机 选择 一 个 在 子 网 位 数 大 小 内 的 随机 数 来 分 配子 网 。 使 用 
之 前 从 /32 中 分 配 /40 的 例子 ， 这 将 会 产生 一 个 在 0 ~2 -1 (或 255) 的 随机 数 
并 对 其 进行 分 配 ， 如 果 它 仍 可 用 的 话 。 这 种 方法 提供 了 一 种 横 跨 多 个 实体 随机 
扩展 分 配 的 手段 ， 其 通常 最 适合 于 “相同 大 小 ”的 分 配 。 随 机 化 的 方法 为 不 连 
续 的 块 和 以 “1” 开 始 的 连续 子 网 提供 了 一 个 “隐私 ”级 别 。 要 知道 ， 随 机 分 配 
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可 能 致使 较 大 连续 块 的 识别 更 加 困难 ， 而 且 会 由 于 重新 编号 的 原因 而 释放 连续 
的 空间 。 因 此 ， 在 顶层 更 适宜 进行 稀 玻 分 配 ， 随 机 分 配 或 最 佳 分 配方 法 更 适合 
在 底部 或 子 网 分 配 级 别 的 分 配 。 


5.3.4 DHCPv6 前 组 代理 


DHCPv6 不 仅 可 以 用 来 给 主机 进行 分 配 单个 IP 地 址 和 /或 相关 的 IP 配置 信 
息 ， 也 可 以 代理 整个 网 络 去 请 求 路 由 设备 。 这 种 通过 DHCPv6 代理 的 形式 被 称 为 
前 缀 代理 。 这 种 前 缀 代理 的 原始 动机 是 因 宽 频 服 务 提供 商 旨 在 用 一 种 分 层 的 方 
式 来 自动 化 授权 IPv6 子 网 (如 /48 网 络 划 分 为 /64 网 络 ) 给 宽频 用 户 的 过 程 。 
一 个 在 服务 提供 商 面 向 用 户 的 网 络 边缘 的 请 求 路 由 设备 ， 会 把 一 个 通过 DHCPv6 
协议 发 出 的 地 址 空间 请 求 发 布 给 一 个 代理 路 由 器 。 

前 缀 代理 过 程 使 用 的 DHCPv6 信息 流 ， 跟 设备 用 来 获得 一 个 单独 的 IPv6 地 
址 所 使 用 的 基本 的 DHCPv6 信息 流 相同 。 相 应 的 DHCPv6 消息 中 额外 的 信息 可 被 
用 来 确定 一 个 被 代理 的 合适 网 络 。 像 IPv6 地 址 一 样 ， 前 缀 具有 优先 和 有 效 的 使 
用 期 。 请 求 路 由 器 可 以 通过 DHCPv6 的 Renew 和 Rebind 信息 来 请 求 扩 展 使 用 期 。 
请 参考 本 书 参 考 文 献 [11] ， 以 获得 更 多 有 关 DHCPv6 的 细节 。 


5.3.5 唯一 本 地 地 址 空间 


虽然 IPv6 并 没有 指定 “私有 ”地 址 空间 , 但 ULA 空间 本 质 上 是 等 效 的 。 通 
过 使 用 fc00::77 前 缀 ， 设 置 工 位 为 “1” (也 就 是 fd00::/8) 来 表明 本 地 分 配 ， 
再 分 配 一 个 随机 的 40 位 全 局 ID ， 你 就 可 以 得 到 一 个 /48 的 前 缀 以 供 内 网 使 用 。 
就 像 RFC 1918 中 IPv4 空间 一 样 ，ULA 编 址 的 数据 报 ， 不 能 被 路 由 到 组 织 外 ， 也 
就 是 因特网 中 。 那 么 你 是 否 应 该 分 配 ULA 地 址 空间 呢 ? 对 你 的 实验 室 实现 来 说 
为 是 ; 而 通常 对 需要 因特网 访问 的 设备 而 言 ， 则 为 否 。 这 些 设备 将 需要 公共 的 
IPv6 地 址 分 配 和 使 用 网 络 前 缀 转化 (Network Prefix Translation，NPT) ， 然 We 
将 其 作为 实验 的 解决 方案 ， 则 可 能 会 降低 其 性 能 。 


























5.4 定义 你 自己 的 IPv6 地 址 计划 


既然 定义 了 各 种 分 配方 法 ， 那 就 讨论 每 一 种 方法 可 能 会 被 用 在 哪些 地 方 。 
下 面 将 通过 一 个 顶级 核心 网 络 ， 并 假设 其 具有 一 个 分 层 路 由 拓扑 ， 来 讨论 分 配 
问题 。 校 园 网 或 接 入 网 络 从 顶级 核心 网 络 中 分 配 地 址 ， 而 本 地 子 网 则 从 校园 网 
或 接 入 网 中 进行 分 配 。 在 所 用 的 例子 中 ， 基 于 你 网 络 大 小 和 复杂 性 ， 这 个 简单 
的 三 层 层 次 结构 是 可 以 被 扩展 为 任何 数量 的 层次 的 。 第 一 个 要 考虑 的 是 你 是 否 
要 为 网 络 中 的 每 一 个 IPv4 块 或 子 网 ， 映 射 一 个 IPv6 块 或 子 网 。 给 定 一 个 具有 超 
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过 18 x102 个 地 址 的 大 型 /64 IPv6 子 网 ， 肯 定 可 以 只 使 用 一 个 /64 块 就 可 以 解决 
整个 TP 网 络 的 编 址 问题 。 这 当然 会 损害 网 络 路 由 效率 及 其 相关 功能 的 优势 ， 但 
某 种 形式 的 网 络 聚合 可 能 会 更 加 有 意义 。 这 并 不 是 意味 着 要 根据 调试 和 解决 路 
由 和 数据 流 问 题 而 完全 重新 设计 网 络 ， 网 络 的 重新 设计 会 在 IPv6 部 署 过 程 中 引 
入 复杂 的 额外 层次 。 如 果 你 的 网 络 运行 不 佳 ， 你 可 能 需要 先 考虑 重新 设计 和 优 
化 你 的 IPv4 网 络 ， 然 后 再 部 署 IPv6 。 

假设 你 的 IPv4 网 络 虽 不 是 最 佳 的 但 运行 得 还 不 错 ， 那 么 你 的 IPv4 地 址 可 以 
作为 你 IPv6 计划 的 一 个 可 靠 基 础 ， 这 就 是 为 什么 定 下 你 IPv4 计划 基线 是 如 此 重 
要 。 通 常 你 的 顶级 IPv6 分 配 将 很 可 能 会 模拟 IPv4 的 分 配 ， 为 每 个 核心 路 由 器 分 
配 一 个 聚合 的 地 址 块 。 核 心路 由 器 可 能 较 少 发 布 路 由 信息 ， 因 为 每 个 相应 的 块 
在 本 地 访问 级 别 将 会 进一步 被 分 配给 下 游 。 在 分 配 ISP 所 分 配 的 地 址 给 核心 路 由 
器 之 前 ， 一 些 网 络 管理 员 会 首先 根据 应 用 程序 的 不 同 分 割 它 们 的 空间 ， 如 VolP、 
数据 、 无 线 等 。 使 用 这 种 模板 来 分 配 地 址 有 助 于 为 特定 应 用 程序 通信 配置 网 络 
路 由 策略 和 ACL。 例 如 ， 你 可 能 会 分 割 一 个 ISP 提供 的 /48 块 为 16 个 /52 块 来 定 
义 每 个 应 用 程序 的 空间 。 然 后 每 个 分 配 的 /52 块 可 能 会 进一步 被 分 配 ， 假 设 每 一 
个 被 分 配 为 16 个 块 ， 这 样 就 为 每 个 应 用 程序 分 配 了 16 个 /56 块 。 这 种 在 你 网 络 
顶级 的 IPv6 空间 分 配 ， 应 使 用 稀 玻 分 配 算法 以 防止 路 由 表 随 着 网 络 容量 的 增长 
而 增长 。 

下 面 通过 使 用 ISP 分 配 2001: db8 ; 4af0; : /48 的 例子 来 说 明 这 个 过 程 。 在 应 
用 层 将 迭代 地 应 用 稀 玖 分 配 ， 然 后 是 核心 区 域 层 。 在 应 用 层 ， 就 像 下 面 这 样 稀 
BREA BCE 13 个 半 字 节 或 者 49 ~52 位 。 















































核心 分 配 49 ~52 位 公共 地 址 空间 分 配 
数据 0000 2001: db8 ; 4af0: ; /52 
VoIP 1000 2001 : db8 ; 4af0 ; 8000 : : /52 
无 线 0100 2001; db8 : 4af0 ; 4000 : : /52 
管理 1100 2001; db8 ; 4af0 : c000: ; /52 


注意 ， 你 本 来 可 以 定义 一 个 横 跨 整个 网 络 的 统一 的 各 个 应 用 策略 清单 。 例 
如 ， 如 果 源 地 址 落 在 2001: db8: 4af0; 8000; ; /52 上 ， 就 应 用 VoIP 的 数据 报 处 理 
过 程 。 由 于 有 了 稀 玻 分 配 算法 ， 此 时 如 果 需 要 分 配 更 多 的 “VoIP” 地 址 空间 ， 
可 以 简单 地 分 配 一 个 2001: db8: 4af0: 9000: ; /52 (位 49-52 为 1001)， 它 和 
2001 : db8:4af0: 8000::/52 是 相 邻 的 。 然 后 就 可 以 仅 从 2001: db8: 4af0: 
8000; : /52 到 2001 ; db8 : 4af0; 8000; : /51 更 新 我 的 路 由 、 策 略 和 ACL。 而 下 一 
步 ， 为 了 分 配 这 个 VoIP 空间 到 整个 核心 路 由 器 ， 只 需 将 接 下 来 (第 14 个 ) 的 
半 个 字 节 或 53 ~ 56 位 分 配给 各 大 陆 的 地 址 空间 : 
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子 核心 分 配 53 ~56 位 公共 地 址 空间 分 配 
北美 洲 0000 2001 ; db8 ; 4af0 ; 8000; : /52 
欧洲 1000 2001 ; db8 :4af0 ; 8800; ; /52 
亚洲 0100 2001 ; db8 ; 4af0 ; 8400; : /52 
南美 洲 1100 2001: db8:4af ; 8c00; : /52 
非洲 0010 2001 ; db8 :4af0 ; 8200; ; /52 
澳洲 1010 2001: db8 ; 4af; 8a00; : /52 











注意 ， 这 种 方法 提供 了 一 个 网 络 地 址 到 相应 应 用 程序 或 地 区 的 可 视 化 映射 。 
这 是 在 例子 中 使 用 的 半 字 节 递 增 分 配 的 关键 优势 。 稍 后 ， 你 就 会 发 现 一 个 具有 
2001 : db8 :4af0: 8400; : 地 址 分 配 的 主机 是 一 个 位 于 亚洲 地 区 的 VoIP 设备 。 因 为 
第 13 个 半 字 节 的 值 为 8 ， 表 明 其 是 VoIP 应 用 ; 而 第 14 个 半 字 节 的 值 为 4， 表 明 
其 在 亚洲 。 

对 于 一 个 /48 的 分 配 ， 你 实际 上 只 有 /48 到 /64 之 间 4 个 半 字 节 可 以 使 用 ， 
所 以 要 做 相应 的 计划 。 你 可 以 不 使 用 半 字 节 的 方式 ， 但 十 六 进 制 的 映射 具有 更 
大 的 挑战 性 ， 且 你 牺牲 了 可 视 化 映射 的 好 处 。 在 本 例 中 ， 对 于 剩 下 的 2 个 半 字 
节 ， 可 以 分 别 为 接 和 网络 和 本 地 网 络 各 分 配 一 个 。 在 这 些 较 低 的 分 配 级 别 中 ， 
根据 你 的 安全 考虑 来 决定 顺序 分 配 ， 或 随机 分 配 可 能 会 更 有 意义 。 但 在 持续 的 
结构 化 分 配 中 ， 你 使 地 址 到 类 型 和 位 置 的 可 视 化 映射 更 容易 了 。 对 你 所 有 的 公 
共 地 址 而 言 ，ISP 前 绥 是 一 样 的 ， 所 以 根据 子 网 ID 部 分 来 追踪 ， 使 这 样 映 射 更 
简化 了 。 

对 于 之 前 已 经 讨论 过 的 2001: db8 :4af0;: /48 的 IPv6 分 配 ， 表 5-1 给 出 的 
示例 是 一 个 将 其 往 下 映射 到 /64 子 网 的 例子 。 在 这 个 例子 中 ， 在 本 书 图 4-3 所 
示 的 IPv4 地 址 评 佑 结果 的 基础 上 ， 构 建 了 自己 的 IPv6 地 址 计划 。 注 意 ， 这 里 
是 如 何 使 用 不 同 的 阴影 来 阐述 每 一 个 层次 的 ， 首 先 将 全 局 的 /48 块 分 配 分 割 为 
应 用 层 的 /52 块 分 配 (水 平 列 表示 )， 再 下 一 层 是 核心 的 /56 块 分 配 ， 然 后 是 
/60 的 地 区 分 配 ， 最 后 则 是 /64 的 站 点 / 子 网 。 注 意 ， 可 识别 出 地 址 2001; db8: 
4af0: c812;:/64 是 在 欧洲 地 区 西部 罗马 的 一 个 管理 子 网 ， 因 为 “c812” 在 
表 5-1 的 右 下 角 每 一 项 分 别 映射 为 管理 (ce)、 欧 洲 (8)、 欧 洲 西 部 (1)， 以 
及 罗马 (2)。 

回 到 之 前 提 到 的 子 网 合并 ， 在 分 配 的 例子 中 ， 欧 洲 西部 有 16 个 可 分 配 的 子 
网 ， 其 中 子 网 2 在 罗马 中 。 如 果 在 罗马 办 公 室 中 已 经 有 了 3 个 IPv4 FA, IBA 
可 以 考虑 将 这 些 合并 到 一 个 IPv6 子 网 中 。 此 外 ， 还 要 考虑 路 由 限制 ， 如 果 可 以 
的 话 ， 还 要 考虑 进行 多 子 网 分 配 的 最 初 原因 。 可 能 是 由 于 安全 或 者 其 他 原因 ， 
保留 多 个 子 网 是 很 有 必要 的 。 























表 5-1 IPv6 层次 块 分 配 示例 





























































































































核心 
位 置 地 区 | 位置 IPv4 网 数据 网 VoIP 网 无 线 网 管理 网 

全 局 10. 0. 0. 0/8 2001 ; db8 : 4af0; : /52 2001; db8 ; 4af0; 8000; ; /52 | 2001; db8 ; 4af0; 4000; ; /52 | 2001; db8 ; 4af0; c000; ; /52 

分 配 
10.0.0.0/12| 2001: db8; 4af0: : /56 2001 : db8 : 4af0 : 8000 : : /56 | 2001 ; db8 : 4af0 ; 4000: : /56 | 2001; db8 ; 4af0 : c000: : /56 
10.0.0.0/16] 2001; db8 : 4af0; ; /60 2001; db8 ; 4af0; 8000; ; /60 | 2001; db8: 4af0; 4000; ; /60 | 2001; db8 ; 4af0; c000; ; /60 
东部 费城 ”110.0.0.0/24| 2001; db8:4af0::/64 2001; db8 : 4af0; 8000; ; /64 | 2001; db8: 4af0; 4000; ; /64 | 2001; db8 ; 4af0; c000; ; /64 
蒙特 利 尔 |10. 0. 0. 1/24| 2001; db8:4af0:1::/64 | 2001; db8; 4af0; 8001; ; /64 | 2001; db8 : 4af0; 4001; ; /64 | 2001; db8 ; 4af0; c001 ; ; /64 
华盛顿 | 10.0.0.2/24| 2001; db8;4af0;2:;/64 | 2001; db8; 4af0; 8002: ; /64 | 2001; db8; 4af0; 4002; ; /64 | 2001; db8; 4af0; c002 ; ; /64 
; 10. 1.0.0/16] 2001; db8;4af0;10;:;/60 | 2001; db8; 4af0; 8010;; /60 | 2001; db8; 4af0; 4010; ; /60 | 2001; db8; 4af0; c010; ; /60 
pre ,| 源太 华 |10.1.0.0/24| 2001; db8:4af0:10::/64 | 2001; db8 ; 4af0; 8010: : /64 | 2001; db8:4af0:4010:: /64 | 2001; db8: 4af0 ; c010:: /64 
al 休斯顿 110.1.0.1/24| 2001; db8: 4af0:11::/64 | 2001; db8; 4af0; 8011;; /64 | 2001; db8; 4af0; 4011 ; ; /64 | 2001; db8 ; 4af0; c011 ; ; /64 
丹佛 “110.1.0.2/24| 2001; db8; 4af0;12:;/64 | 2001; db8; 4af0; 8012; ; /64 | 2001; dh8; 4af0; 4012; ; /64 | 2001; db8 ; 4af0; c012; ; /64 
10. 2.0.0/16] 2001; db8;4af0;20;:;/60 | 2001; db8; 4af0; 8020 : : /60 | 2001; db8; 4af0; 4020; ; /60 | 2001; db8; 4af0; c020; ; /60 
ja 旧金山 |10.2.0.0/24| 2001; db8;4af0:20;:/64 | 2001; db8; 4af0; 8020; : /64 | 2001; db8 ; 4af0; 4020 ; ; /64 | 2001; db8 ; 4af0; c020; ; /64 

H 

西雅图 | 10.2.0.1/24| 2001; db8:4af0:21::/64 | 2001; db8; 4af0; 8021 ::/64 | 2001; db8; 4af0; 4021 ; : /64 | 2001; db8; 4af0; c021; ; /64 
圣地 亚 哥 |10. 2. 0. 2/24 | 2001; db8; 4af0;22:;/64 | 2001; db8 ; 4af0; 8022; ; /64 | 2001; db8 : 4af0; 4022; ; /64 | 2001; dh8; 4af0; c022; ; /64 
10. 16. 0. 0/12] 2001: db8 : 4af0 : 800: : /56 | 2001: db8 : 4af0 : 8800: : /56 | 2001: db8 : 4af0 : 4800: : /56 | 2001: db8 : 4af0 : c800 : : /56 
10. 16. 0.0/16| 2001; db8; 4af0;800;; /60 | 2001; db8 ; 4af0; 8800; ; /60 | 2001; db8; 4af0; 4800; : /60 | 2001; db8; 4af0; c800 ; ; /60 
东部 | 柏林 110. 16. 0. 0/24] 2001; db8: 4af0; 800::; /64 | 2001; db8; 4af0; 8800; ; /64 | 2001; db8 ; 4af0; 4800; ; /64 | 2001; db8 ; 4af0; e800; ; /64 
欧洲 基 畏 110. 16. 1.0/24 2001; db8: 4af0; 801 ::/64 | 2001: db8 ; 4af0 : 8801 : : /64 | 2001:db8:4af0:4801::/64 | 2001; db8; 4af0; c801; ; /64 
分 配 10. 17. 0. 0/16| 2001; db8: 4af0:810::/60 | 2001 ; db8 ; 4af0 : 8810 : : /60 | 2001:db8:4af0:4810:: /60 | 2001; db8; 4af0; c810; ; /60 
西部 伦敦 110.17. 0. 0/24| 2001; db8 : 4af0 : 810 ::/64 | 2001:db8:4af0:8810::/64 | 2001 : db8 ; 4af0 : 4810 : : /64 | 2001; db8 ; 4af0 : c810 ; : /64 
EZ 110.17. 1.0/24 2001; db8; 4af0:811::/64 | 2001; db8; 4af0; 8811;; /64 | 2001; dh8; 4af0;4811;; /64 | 2001; db8; 4af0; c811 ; ; /64 
罗马 110.17. 2.0/24] 2001; db8:4af0:812::/64 | 2001; db8; 4af0; 8812;; /64 | 2001; db8 ; 4af0; 4812;; /64 | 2001; db8 ; 4af0; c812;; /64 
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DNS 是 IPv6 分 配 中 另 一 个 需要 考虑 的 。 如 果 你 的 DNS 管理 委托 给 了 组 织 
的 不 同 群体 ， 通 过 一 些 事先 的 筹划 ， 可 简化 相应 反 向 区 域 的 委托 。 在 上 面 的 例 
子 中 ， 如 果 你 的 VoIP 团队 管理 着 所 有 的 VoIP DNS, 你 可 以 将 区 域 
8. 0. f. a. 4. 8. b. d. O. 1. 0. 0. 2. ip6. arpa 委托 给 它 。 然 而 ， 如 果 欧 洲 的 团队 运行 着 
跨 应 用 的 DNS， 使 用 上 面 的 分 配 策略 ， 你 可 能 不 得 不 委托 到 16 个 反 向 区 域 , 也 
就 是 8.x.0.f a4.8.b.d.0.1.0.0.2.ip6.arpa 中 x=10- 人 的 区 域 。 通 常数 据 路 
由 和 策略 超越 了 反 向 区 域 的 考虑 ,但 这 是 潜意识 中 要 考虑 的 ， 同 时 这 也 帮助 促 
进 权衡 分 配 策略 与 其 在 网 络 操作 中 的 限制 。 




















5.5 多 重 连接 与 IP 地 址 空间 








术语 多 重 连接 是 指 一 个 企业 提供 了 多 个 ( >1) 到 因特网 的 连接 。 图 5-4 所 
示 的 多 重 连接 架构 ， 是 一 个 简单 
的 架构 。 一 个 多 重 连 接 的 策略 提 
供 了 几 个 好 处 AT : 

。 链 接见 余 ， 提 供 了 当 连 接 
中 断 事件 发 生 时 有 继续 可 用 的 因 
特 网 连接 。 

e ISP 宛 余 ， 如 果 采 用 多 个 
ISP， 可 以 减少 由 于 某 个 ISP 中 断 
产生 的 影响 。 

。 在 多 个 连接 上 分 流 因特网 














Sit 
bail 





© 根据 拥塞 情况 或 路 由 不 同 应 用 程序 的 流量 到 不 同 的 链接 或 不 同 ISP, EFT 
不 同 的 路 由 ， 从 而 在 策略 与 性 能 上 获得 收益 。 

多 重 连接 提供 了 多 个 很 有 吸引 力 的 好 处 ， 尽 管 它 需 要 小 心 配置 连接 到 每 个 
ISP 的 路 由 器 接口 。 就 像 图 5-4 所 示 ， 直 接连 接 到 它们 各 自 ISP 边界 路 由 器 的 企 
业 边界 路 由 器 ， 加 入 了 一 个 外 部 路 由 协议 (如 BGP)， 以 通告 其 各 自 地 址 块 的 可 
达 性 (通过 地 址 前 级 ) 。 因 此 ， 连 接 到 ISP X 的 企业 路 由 器 将 会 通告 由 ISP X 提 
供给 该 企业 的 地 址 空间 的 可 达 性 。 同 样 的 ， 连 接 到 ISP Y 的 企业 路 由 器 将 会 通告 
由 ISP Y 提供 的 地 址 空间 的 可 达 性 。 

这 两 个 企业 路 由 器 也 通过 企业 IP 网 络 使 用 内 部 路 由 协议 来 进行 彼此 通信 。 
在 这 种 方式 下 ， 可 能 发 现 失去 本 与 一 个 ISP 的 连接 ， 这 是 令 人 感 兴趣 的 地 方 。 下 
面 略 过 路 由 细节 ， 来 简要 地 说 明 这 点 。 下 面 总 结 了 最 常见 的 多 重 连接 的 部 署 选 
项 ， 运 行 中 断 的 影响 以 及 对 IP 地 址 空间 的 影响 ; 
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。 情况 1。 两 个 或 多 个 不 同 的 物理 链 路 连接 到 同一 个 ISP。 这 种 “多 个 附 
属 ”的 架构 提供 了 链接 宛 余 ， 但 并 没有 ISP 宛 余 。 如 图 5-4 所 示 ， 两 个 ISP 云 将 
折 全 成 一 个 单一 的 云 ， 但 仍 有 从 企业 来 的 两 个 (或 更 多 ) 链接 。 对 于 单个 ISP， 
前 级 X= 前 级 Y， 所 以 这 个 从 ISP 分 配 的 公共 地 址 空间 就 会 在 所 有 连接 上 统一 
发 布 。 

o 情况 2。 使 用 供应 商 独立 (Provider Independent, PI) 的 地 址 空间 ， 通 过 
两 条 或 多 条 链 路 连接 到 一 个 或 多 个 ISP。PI 空间 是 独立 于 ISP 而 直接 分 配给 某 个 
ape ZAI), WK 5-4 所 示 ， 两 个 连接 的 通告 前 缀 再 次 相同 ， 虽 然 可 以 将 其 记 为 
HUA Z 作为 独立 的 ISP 地 址 空间 。 如 同情 况 1，PI 空间 可 以 被 通告 给 所 有 ISP, 
且 需 要 在 整个 组 织 中 进行 分 配 。 

。 情况 3。 使 用 每 个 ISP 的 供应 商 聚 合 (Provider Aggregate, PA) 的 地 址 空 
间 ， 通 过 两 条 或 多 条 链 路 连接 到 两 个 或 多 个 ISP。 在 这 种 情况 下 ， 每 个 ISP 将 分 
配 地 址 空间 作为 其 服务 的 一 部 分 。 图 5-4 所 示 正 反映 了 这 一 情况 。 有 了 两 个 独立 
的 地 址 块 ，X 和 Y， 如 果 到 ISP X 的 链接 失效 了 ， 由 于 内 部 路 由 协议 的 特性 ， 根 
据 连 接 到 ISP X 的 企业 路 由 器 的 更 新 信息 ， 连 接 到 ISP Y 的 企业 路 由 器 就 会 检测 
到 这 个 问题 。 因 此 ， 连 接 到 ISP Y 的 企业 路 由 器 现在 就 可 以 通告 到 前 绥 X 的 可 
达 性 了 。 根 据 ISP Y 的 策略 ， 由 于 它 不 是 ISP Y 的 地 址 空间 而 是 ISP X 的 ， 因 此 
它 可 能 会 也 可 能 不 会 传播 该 路 由 。 

男 一 种 方法 就 是 执行 一 个 ISPY 的 间接 的 BGP 更 新 ， 而 ISP Y 其 实 是 连接 到 
ISP X 路 由 器 的 企业 路 由 器 。 在 这 种 方式 下 ，ISP X 路 由 器 可 能 会 被 告知 ， 通 过 
ISP Y 有 一 个 替代 路 由 能 够 到 达 企 业 地 址 空间 。 图 5- 5 所 示 的 多 重 链 路 中 断 恢 
复 , 说 明了 这 两 种 可 选 的 方法 ， 前 者 展示 了 前 级 X 被 通告 给 ISP Y 的 路 由 器 ， 
后 者 则 展示 了 前 级 X 被 通告 给 ISP X Be AE! 。 





























图 5-5 多 重 链 路 中 断 恢复 





还 有 一 个 方法 是 部 署 shim6” ， 它 是 协议 栈 中 IPv6 层 正 上 方 的 一 个 “ 垫 
片 ”， 用 来 用 最 佳 下 一 跳 来 映射 目标 地 址 。 启 动 了 IPv6 流量 的 终端 设备 在 它们 的 


第 5 章 IPv6 地 址 规划 117 





协议 栈 中 将 需要 一 个 shim6 ， 以 启用 这 种 最 佳 的 路 由 ， 这 也 可 以 实现 重新 路 由 以 
绕 过 某 些 断 开 的 ISP 连接 。 

每 个 ISP 连接 的 NAT 网 关 都 启用 了 地 址 池 ， 在 ISP 连接 邻近 的 基础 上 ， 如 
IAW X BOY, 将 一 个 给 定数 据 报 的 内 部 私有 地 址 转化 为 一 个 公共 地 址 。 除 非 
使 用 NAT 网 关 ， 不 然 企 业 应 该 要 实现 边界 路 由 策略 ， 以 最 小 化 或 阻止 在 内 部 地 
址 主机 间 的 流量 被 路 由 为 通过 ISP 的 流量 。 





5.6 IP 地址 规划 总 结 


本 章 讨论 了 制订 你 的 IPv6 地 址 计划 的 机 制 和 技术 。 图 5-6 所 示 的 IPv6 地 址 
规划 总 结 了 基本 过 程 。 作 为 你 选择 的 部 署 范围 中 初步 的 整体 发 现 与 评估 的 一 部 
分 ， 其 中 一 项 成 果 应 该 是 一 份 本 书 第 4 章 中 讨论 的 IPv4 地 址 库存 清单 。 这 份 库 
存 清单 应 该 根据 你 的 网 络 拓 扑 来 进行 分 层 建 模 ， 以 反映 出 拓扑 级 别 、 相 关 的 分 
配 、 直 到 子 网 和 独立 IP 地 址 的 分 配 级 别 。 该 库存 清单 还 必须 列 出 DHCP 地 址 池 ， 
以 及 为 故障 切换 的 准备 的 备份 池 、 分 割 范 围 或 共享 子 网 等 。 


开始 下 从 ISP/RIR| 
地 址 规 获得 的 
划 过 程 IPv6 块 


发 现 IPv4 
网 络 、 
DHCP 池 、 


地 址 分 配 


IPv4 地 
址 计划 































设计 IPv6 
地 址 计划 


图 5-6 IPv6 地 址 规划 









计划 和 预 


定 下 IPv6 
算 的 基线 


IPv6 部 署 
项 目 计划 


这 项 评估 工作 的 最 终结 果 ， 即 IPv4 地 址 计划 ,正如 本 章 所 描述 的 ， 为 IPv6 
地 址 规划 提供 了 基础 。 假 定 你 计划 在 很 大 程度 上 保留 当前 的 基本 数据 流 和 路 由 
结构 ， 那 么 这 样 将 大 大 降低 因为 部 署 IPv6 网 络 而 破坏 网 络 正常 数据 交换 的 可 能 。 
结合 IPv4 地 址 计划 ， 你 的 ISP 分 配 的 IPv6 前 缀 也 可 以 相应 地 被 应 用 和 分 配 。 在 
你 的 网 络 拓 扑 应 用 程序 、 管 理 和 策略 需求 及 管理 授权 需求 的 基础 上 ， 制 定 一 个 
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IPv6 的 分 配 层次 结构 并 在 对 应 的 层次 上 进行 稀 玻 或 最 佳 或 随机 的 地 址 分 配 。 

对 照 [Pv4 计划 来 制订 IPv6 地 址 计划 ， 对 于 保证 完成 分 配 的 覆盖 和 确保 分 配 
层次 符合 网 络 的 分 层 来 说 是 有 帮助 的 。 计 划 还 应 该 包括 对 ULA 空间 及 多 播 地 址 
需求 (如 适用 的 话 ) 的 考虑 。 一 旦 IPv6 计划 已 经 确定 ， 该 计划 就 会 在 部 署 实施 
过 程 中 被 参照 遵循 ， 以 指导 和 保证 路 由 器 、 每 台 设备 、IPv6 子 网 /地 址 正常 划 
分 。DHCPv6 的 准备 也 必须 在 主机 地 址 分 配 和 可 能 的 基础 设施 投资 时 被 考虑 进 
去 。 其 他 与 IP 寻 址 相关 的 基础 设施 投资 的 可 能 是 极 小 的 ， 除 非 你 需要 一 个 IPAM 
系统 来 同时 管理 你 的 IPv4 和 IPv6 空间 。 


6% IPv6 安全 计划 


如 果 计划 在 你 的 网 络 中 引进 一 个 新 的 网 络 层 协议 ， 必 然 会 引起 安全 团队 的 
重视 。 事 实 上 ， 在 你 的 网 络 中 可 能 早已 拥有 了 一 些 试图 连接 网 络 资源 的 IPv6 寻 
址 设备 。 因 此 ， 作 为 引进 IPv6 计划 的 重要 组 成 部 分 ， 更 新 你 的 安全 策略 就 非常 
关键 了 。 本 章 主 要 从 安全 的 视角 来 探讨 IPv4 和 IPv6 之 间 的 差异 ， 并 突出 了 在 更 
新 安全 策略 时 需要 考虑 的 一 些 关 键 点 。 





uo 




















6.1 好 消息 : IP 依然 是 IP 











如 同 IPv4, IPv6 是 属于 OSI ER BORE A — BP I | FE 
IPv4 的 网 络 中 使 用 IPv6 并 不 会 对 网 络 层 的 上 层 或 下 层 有 潜在 的 安全 影响 。IPv6 
本 身 并 不 比 IPv4 更 安全 或 更 不 安全 ， 但 它 与 IPv4 不 同 ， 必 须 从 安全 的 角度 加 以 
考虑 。 因 此 ， 没 有 新 的 应 用 层 、 传 输 层 、 链 路 层 或 物理 层 漏 洞 被 引入 ， 也 没有 
被 消除 。 一 般 来 说 ， 以 下 的 攻击 类 型 应 该 继续 包含 在 您 的 安全 策略 中 : 

© 物理 安全 性 和 访问 。 

。 未 经 授权 的 网 络 访问 许可 : 通过 第 二 层 (如 可 扩展 身份 验证 协议 
(Extensible Authentication Protocol, EAP), Radius/Diameter 协议 ) 或 者 第 三 层 
(DHCP 或 者 Spoofing) 。 

。 应 用 层 ， 传 输 层 ， 链 路 层 或 物理 层 攻击 。 

。 中 间 人 攻击 。 

。 操作 系统 漏洞 和 攻击 。 

© MERR, 

o 拒绝 服务 攻击 (Denial of Service, DOS) 和 分 布 式 拒绝 服务 攻击 (Distributed 
DOS, DDOS), 

然而 ， 相 比 单个 协议 栈 ， 运 行 IPv4 All IPv6 双 协 议 栈 的 设备 更 容易 受到 这 两 
种 网 络 寻 址 的 安全 漏洞 的 影响 。 对 比 IPv4 ， 业 界 对 IPv6 安全 缺乏 经 验 上 的 认识 ， 
使 得 上 层 攻击 者 直接 攻击 IPv6 寻 址 比 直接 攻击 IPv4 寻 址 更 加 有 效 。 应 用 本 章 讨 
论 的 IPv6 安全 策略 将 会 帮助 降低 这 些 风 险 。 

引入 IPv6 不 是 为 了 改变 网 络 流 量 ， 但 可 能 会 增加 IPv6 单 协议 主机 的 流入 或 
流出 流量 。 用 户 设备 最 终 产 生 的 IP 流量 由 用 户 的 行为 决定 。 如 果 用 户 引 入 一 个 
IPv6 设备 ， 新 的 IPv6 流量 必然 会 产生 ， 与 用 户 使 用 传统 设备 产生 的 IPv4 流量 代 
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价 是 一 样 的 。 因 此 ， 除 非 在 计划 部 署 IPv6 的 同时 恰巧 重新 设计 主要 网 络 (并 不 
推荐 这 种 做 法 ) ， 那 么 整体 的 IP 流量 模式 在 大 多 数 情况 下 将 会 保持 相同 。 





6.2 坏 消息 : IPv6 不 是 IPv4 





尽管 好 的 一 面 是 ， 引 入 IPv6 带 来 的 漏洞 会 大 部 分 受 限 于 网 络 层 ; 但 坏 消息 
是 IPv6 不 同 于 了 Pw4 ， 它 具有 必须 被 监督 的 独特 特性 ， 以 及 如 果 某 些 设 置 未 被 关 
闭 ， 则 必须 详细 审查 。 首 先 ，IPv6 不 是 一 项 新 技术 ， 大 规模 的 IPv6 部 署 却 还 没 
有 实现 。 鉴 于 迄今 为 止 IPv6 的 部 署 仍 处 于 较 低 水 准 ,， “臭名 昭著 ”的 攻击 比 高 
能 见 度 、 以 IPv4 为 目标 的 攻击 少 。 识 别 和 处 理 这 些 攻击 的 实际 经 验 有 限 。 相 反 ，， 
伴随 着 一 次 次 IPv4 互联 网 攻击 ， 应 对 攻击 向 量 的 经 验 不 断 累 积 ， 就 能 制定 相应 
的 IPv4 应 对 方案 和 流程 。 

尽管 IPv6 有 某 些 不 同 的 东西 ， 也 引进 了 必须 考虑 的 独特 特性 ,但 是 基于 
IPv4 的 安全 策略 也 能 够 适用 于 IPv6。 例 如 ， 考 虑 以 下 几 点 : 

e 当 IPv4 使 用 ARP 来 将 IP 地 址 关联 到 链 路 层 地 址 时 ，IPv6 使 用 NDP 一 一 
地 址 自动 配置 和 重复 地 址 检测 需要 这 个 协议 。 因 此 ，ARP 攻击 的 缓解 策略 也 应 
该 适用 于 NDP, 

© IPv4 支持 广播 ， 而 IPv6 使 用 知名 的 多 播 来 代替 ， 如 在 DHO F, 

。 当 需 要 逐 跳 的 路 由 器 来 处 理 数 据 报时 ， 路 由 器 资源 会 被 消耗 。 例 如 ， 在 
逐 跳 扩 展 报头 内 使 用 IPv6 路 由 器 警报 选项 。 

© IPv4 的 分 段 是 在 路 由 器 上 进行 的 ， 而 IPv6 是 在 主机 上 进行 分 段 。 

© 移动 IPv6 和 移动 IPv4 相似 ， 但 也 有 很 大 的 区 别 ， 本 章 将 稍 后 讨论 。 

e 由 于 IPv6 庞大 的 子 网 ， 使 用 暴力 ping 来 识别 主机 相对 来 说 是 比较 困难 
的 。 当 然 ， 如 果 您 从 1 开始 给 主机 分 配 地 址 并 逐渐 累加 ， 将 使 得 整个 发 现 过 程 
更 加 简单 。 

。 一 般 来 说 ， 在 IPv4 中 ，ICMP 能 够 被 关闭 ; 而 在 IPv6 F, ICMP 是 一 个 必 
需 的 协议 ， 不 能 完全 被 关闭 。 

© IPv6 扩展 报头 的 存在 使 得 基本 IPv6 报头 很 短小 ， 但 会 导致 与 报头 相关 的 
攻击 。 

© IPv6 协议 栈 软 件 的 不 成 熟 也 有 可 能 存在 容易 被 攻击 的 漏洞 。 

© 正如 本 书 第 3 章 提 及 的 IPv4/IPv6 共存 技术 中 ， 经 常会 包含 多 个 交互 的 部 
件 和 复杂 的 操作 ， 这 也 将 带 来 一 些 容易 愉 露 和 被 攻击 的 安全 漏洞 。 

在 接 下 来 的 IPv6 安全 策略 部 分 将 详细 讨论 这 些 问 题 。 你 应 该 将 更 新 的 网 络 
层 安全 策略 纳入 IPv6 策略 内 。 正 如 你 现在 的 安全 策略 ，IPv6 缓解 策略 应 该 明确 
地 被 管理 层 记 载 、 公 示 、 认 可 ， 以 及 被 网 络 用 户 所 理解 。 接 下 来 的 几 节 将 会 
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重 说 明 那 些 在 寻求 缓解 潜在 的 安全 漏洞 下 所 建议 的 安全 策略 。 
6.3 更 新 你 的 安全 策略 


首先 考虑 IPv6 部 署 的 安全 隐患 ， 其 中 有 许多 安全 隐患 已 在 本 章 指出 ; 然后 
更 新 当前 网 络 的 安全 策略 文件 ， 这 点 非常 重要 。 一 旦 更 新 和 通过 了 修订 的 安全 
策略 文件 ， 就 要 考虑 防火 墙 、 路 由 器 、 服 务 器 、 其 他 基础 设施 和 终端 用 户 设备 
对 策略 支持 、 识 别 存在 的 不 足 。 这 些 不 足 可 以 通过 升级 、 更 换 或 记录 有 效 的 组 
解 策略 来 解决 。 这 些 升级 计划 和 策略 的 实现 都 应 该 与 整体 的 IPv6 实施 计划 成 为 
一 体 ， 与 整体 范围 和 部 署 阶段 相 匹 配 。 本 章 的 其 余部 分 将 讨论 潜在 的 攻击 类 型 
和 按 基本 网 络 安全 类 别 分 类 的 缓解 方法 。 























6.4 网 络 边界 的 监控 和 入 侵 防 护 


抵御 来 自 因特网 攻击 的 第 一 道 防线 就 是 你 的 网 络 边界 。 传 统 面 向 因特网 的 
架构 ， 以 路 由 器 及 包含 可 达 外 部 资源 和 防火 墙 的 “隔离 区 ” (Demilitarized Zone, 
DMZ) 为 特点 ， 这 同样 也 适用 于 IPv6。 为 了 让 IPv6 能 访问 到 你 面向 因特网 的 资 
源 ， 就 需要 IPv6 流量 至 少 能 进入 DMZ。 内 部 用 户 与 IPv6 因特网 目的 地 通信 的 必 
要 条 件 就 是 允许 IPv6 流量 进入 内 网 。 

根据 以 前 记录 的 若干 实例 ， 来 自 因 特 网 的 攻击 包括 企图 渗透 、 拒 绝 服 务 、 
劫持、 阻碍 性 能 的 行为 ， 以 及 通常 破坏 团体 间 IPv4 网 络 基础 设施 的 通信 和 服务 。 
相似 的 攻击 也 可 能 出 现在 IPv6 资源 上 。 考 虑 到 运营 IPv6 相对 缺乏 经 验 ， 众 所 周 
知 的 IPv4 类 型 的 攻击 也 可 能 会 发 生 在 IPv6 节点 上 。 实 际 上 ， 就 像 之 前 提 及 的 ， 
攻击 者 可 能 会 将 IPv6 视 为 既定 的 攻击 对 象 的 一 个 “后 门 ”。 所 以 ， 必 须要 采取 
行动 来 监视 攻击 ， 减 少 漏洞 。 与 此 同时 ， 使 用 具有 记录 丢 报 能 力 的 过 滤器 也 是 
个 好 主意 : 审查 丢弃 的 数据 报 不 仅 有 助 于 找 出 潜在 的 攻击 ， 还 能 识别 出 一 些 本 
应 该 被 允许 通过 的 “好 ” 报 ， 从 而 可 能 需要 更 新 过 滤 配 置 。 


6.4.1 IPv6 地 址 过 滤 


类 似 IPv4 地 址 过 滤 ，IPv6 地 址 过 滤 应 考虑 以 下 策略 : 

。 为 了 防止 使 用 非法 地 址 带 来 的 欺骗 ， 应 丢弃 接收 到 的 未 分 配 的 IPv6 地 址 
空间 的 数据 报 。 根 据 期 望 的 过 滤 度 ， 你 可 以 在 大 范围 分 配水 平 简单 地 进行 过 滤 ， 
可 以 参考 http: //www. iana. org/assignments/ ipv6- address- space/ ipv6- address- space. 
xml!” ， 或 是 明确 IANA 分 配 的 每 一 个 IPv6 Be http: //www. iana. org/assignments/ 


ipv6- unicast- address- assignments/ipv6- unicast- addressassignments. xml!” 
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。 拒绝 具有 以 下 定义 的 源 地 址 和 目的 地 址 的 数据 报 。 

大 部 分 防火 墙 都 允许 建立 在 “第 一 次 匹配 ”基础 上 的 策略 规范 。 因 此 ， 假 设 
想 要 允许 全 部 的 IANA 分 配 的 地 址 空间 ， 那 么 你 只 需 将 此 “2000::/3 alow” 或 
“allow 64; fb: : /96” 语 句 添 加 到 拒绝 访问 列表 中 ; 如 果 你 计划 支持 本 书 第 3 章 讨 
论 的 IP/ICMP IPv4/IPv6 转换 前 级 ， 那 么 使 用 “deny all”; 如 果 你 更 倾向 于 RIR- 
level 过 滤 度 ， 那 么 可 以 明确 允许 过 滤 度 更 精确 的 全 球 单 播 2000:: /3 访问 。 

考虑 以 下 额外 的 安全 策略 : 

。 丢弃 入 站 目的 地 址 或 出 站 源 地 址 为 分 配 和 公告 的 公共 了 Pv6 地 址 空间 外 的 
数据 报 。 

o 配置 单 播 逆 疝 路 径 转 发 (unicast Reverse Path Forwarding, uRPF) 过 
滤 一 一 通过 配置 路 由 来 丢弃 源 地 址 不 可 达 或 是 无 法 通过 最 佳 路 由 的 接口 到 达 的 
数据 报 。 这 将 有 助 于 检测 出 可 能 有 恶意 的 设备 利用 源 地 址 欺骗 发 送 的 数据 报 。 

e 尺 可 能 采用 深度 报 检 测 技术 (Deep- Packet Inspection, DPI) 来 分 析 所 有 
的 IPv6 扩展 报头 的 一 致 性 。 这 将 在 6. 5 节 讨 论 。 

。 考虑 您 的 IPv4 协议 支持 中 “41” 表 示 的 是 一 个 IPv6 隧道 数据 报 。 详 情 
参考 接 下 来 的 IPv4/IPv6 共存 技术 章节 ， 讨 论 支 持 各 类 过 度 技术 对 安全 的 影响 。 

© 于 弃 入 站 的 目的 端口 号 对 应 的 服务 或 应 用 程序 不 支持 外 部 接口 的 数据 报 ， 
如 DHCPv6 对 应 端口 546 和 547。 

。 使 用 具有 身份 认证 功能 的 安全 路 由 协议 。 

。 在 外 部 DNS 上 只 发 布 主机 通过 因特网 可 达 的 DNS 记录 ， 如 Web 服务 器 
和 邮件 服务 器 ， 并 考虑 签署 DNSSEC, 

。 通过 定期 检查 日 志 ， 制 定 一 个 可 用 来 发 现 异 常 的 基准 。 当 然 ， 随 着 越 来 
越 多 的 用 户 加 入 IPv6 网 络 ， 各 流量 模式 可 能 需要 花 一 段 时 间 才 能 趋同 。 


6.4.2 ICMPv6 消息 















































ICMPv6 是 IPv6 里 的 核心 部 分 。 然 而 ， 它 也 有 可 能 被 网 络 攻击 利用 。 因 此 ， 
应 该 谨慎 地 考虑 过 滤 处 于 边界 的 ICMPv6 数据 报 (IPv6 下 一 报头 值 为 58)， 并 拒 
绝 错误 消息 类 型 进入 ， 但 除了 那些 包含 你 的 确 需 要 的 消息 类 型 的 ICMPv6 数据 
报 。RFC 4890 ( 即 本 书 参考 文献 [91]) 定义 了 ICMPv6 过 滤 建 议 。 在 错误 消息 
中 ， 以 下 消息 必须 允许 通过 : 

e 类 型 1]。 目 的 地 不 可 达 。 

。 类 型 2。 数据 报 太 大 。 

。 类 型 3。 超 时 。 

e 类 型 4。 参 数 问题 代码 1 和 代码 2 (代码 1 为 遇 到 未 能 识别 的 下 一 报头 ， 
代码 2 为 遇 到 未 能 识别 的 IPv6 扩展 项 ) 。 
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除 此 之 外 ，RFC 不 建议 丢掉 支持 pings 应 用 的 类 型 128 (echo 请 求 ) 和 类 型 
129 (echo 回复 ) 。 很 多 安全 策略 有 意 禁 止 人 站 的 IPv4 echo 请 求 ， 旨 在 阻止 在 一 
个 给 定 的 网 络 里 检测 有 效 的 TP 地 址 。 在 一 个 /64 子 网 内 的 2 个 IPv6 地 址 中 ， 假 
设 不 是 以 ; :1、::2、::3… 这 样 开始 手工 分 配 IPv6 地 址 ， 那 么 检测 主机 将 是 非常 
困难 的 一 件 事 。 因 此 ， 找 到 给 定 IP 地 址 的 主机 很 可 能 就 是 攻击 者 确定 攻击 目标 ， 
或 利用 潜在 “代理 人 ”来 发 动 攻击 的 第 一 步 。 

正常 情况 下 ， 以 下 ICMPv6 错误 消息 不 应 该 被 丢弃 : 

e 类 型 3。 超时 代码 1 (分 段 重 组 超时 )。 

。 类 型 4。 参数 问题 代码 0 (遭遇 错误 的 报头 字段 ) 。 

关于 移动 I Pv6， 也 已 经 定义 了 确定 的 ICMv6 错误 消息 。 如 果 你 的 网 络 明确 
不 支持 移动 IPv6， 以 下 ICMPv6 消息 应 被 过 滤 ; 否则 以 下 类 型 不 该 丢弃 : 

。 类 型 144、145。 本 地 代理 发 现 请 求 /应 答 。 

e 类 型 146, 147, 移动 前 缀 请 求 /公告 。 

e 类 型 154。 移 动 IPv6 代理 路 由 器 请 求 / 公 告 。 

RFC 4890 建议 丢弃 以 下 的 链 路 本 地 流量 ， 且 无 需 特 别 注 意 ， 尽 管 你 可 能 想 
在 安全 策略 中 明确 定义 过 滤 该 类 型 ， 或 是 在 防火 墙 验证 该 操作 : 

e 类 型 133 、134。 路 由 请 求 /公告 。 

e 类 型 135 、136。 和 邻居 请 求 / 公 告 。 

。 类 型 137。 重 定向 。 

e 类 型 141 、142 。 逆 向 邻居 请 求 / 公 告 。 

e 类 型 130 ~132、143。 多 播 监听 、 发 现 监听 查询 ， 报 告 ， 完 成 ， 报 告 (v2). 

e 类 型 148 149, SEND 认证 路 径 请 求 / 公 告 。 

e 类 型 151 ~ 1353。 多 播 路 由 器 公告 (Router Advertisement, RA), WK, 
终止 。 

至 于 那些 只 有 在 特殊 情况 下 才 使 用 的 ICMPv6 也 应 该 丢弃 ,请 仔细 考虑 以 下 
几 种 类 型 ; 

e 类 型 139、140。 和 节点 信息 查询 ， 啊 应 。 

© 类 型 138。 路 由 器 重 编 号 。 

e 类 型 100、101、200、201。 私 人 实验 。 

e 类 型 127、255。 用 于 扩展 的 保留 类 型 。 

。 类 型 150。 用 于 实验 。 

e 类 型 5 ~9、102 ~126、156 ~198。 未 定义 (未 分 配 ) 消息 类 型 。 

除非 想 运 行 一 个 低 功 耗 有 损 的 网 络 (Low- power and Lossy Network, LLN), 
否则 也 可 以 丢弃 ICMPv6 的 类 型 155。 在 LLN 中 ， 该 类 型 用 于 支持 IPv6 路 由 协议 
的 消息 。 




















124 IPv6 部 署 和 管理 





6.5 扩展 报头 


通常 来 说 ， 路 由 器 只 需要 分 析 IPv6 基本 报头 、 可 能 存在 的 逐 跳 选 项 报头 、 
路 由 报头 前 可 能 存在 的 目的 报头 、 路 由 报头 ， 以 及 如 果 路 由 器 是 支持 shim6 的 边 
界 路 由 器 时 的 shim6 报头 。 然 而 ， 防 火 墙 不 仅 涉 及 路 由 器 需要 处 理 的 报头 ， 还 要 
解析 上 层 协议 报头 来 确定 是 否 应 该 丢弃 或 允许 通过 该 数据 报 。 在 一 个 给 定 的 数 
据 报 中 ， 除 了 可 能 会 出 现在 路 由 报头 前 的 上 层 协议 报头 里 的 目的 选项 报头 ， 每 
个 扩展 报头 都 只 应 该 出 现 一 次 。 这 应 该 是 强制 性 的 ， 以 降低 由 于 链接 扩展 报头 
带 来 的 DOS 型 攻击 的 风险 。 有 效 的 报头 类 型 也 应 该 被 验证 。 

虽然 扩展 报头 是 有 效 且 单一 的 ， 但 攻击 者 仍 有 可 能 利用 它们 看 似 无 境 的 外 
表 来 发 起 攻击 。 例 如 ， 可 以 利用 逐 跳 报头 或 目的 报头 的 填充 选项 来 创造 一 条 隐 
蔽 的 控制 渠道 。 填 充 选 项 原本 是 用 来 填补 报头 选项 的 整数 字 节 边界 ， 不 该 包含 
任何 “数据 ”有 效 负载 。 攻 击 者 可 以 利用 路 由 需 逐 跳 警 报 选项 来 达到 拒绝 服务 
或 降低 网 络 路 由 器 的 性 能 ， 因 为 此 时 路 径 上 的 每 个 路 由 器 必须 更 加 深入 地 检查 
数据 报 ， 这 是 一 种 很 消耗 路 由 器 资源 的 行为 。 

除非 你 正在 使 用 移动 IPv6， 否 则 包含 路 由 报头 的 数据 报 就 应 该 被 过 滤 掉 。 
类 型 0 的 路 由 报头 已 经 过 时 ， 类 型 1 主要 用 于 实验 ， 而 类 型 2 则 支持 移动 路 由 选 
项 。 如 有 和 需要， 至少 且 仅 要 支持 类 型 2 。 

当 一 个 数据 报 的 大 小 超过 了 MTU ， 则 需要 使 用 分 片 报头 。 在 IPv6 F, K 
终端 才能 对 数据 报 分 片 。 过 滤 分 片 数据 报 的 一 个 问题 就 在 于 上 层 报 头 信息 可 能 
不 会 包含 在 第 一 个 分 片 内 ， 因 此 就 需要 对 多 个 分 片 进行 “有 状态 的 ”分 析 才 能 
决定 该 数据 报 的 命运 。 攻 击 者 可 能 通过 发 送 许多 小 数据 报 分 片 ， 来 阻止 以 上 处 
理 过 程 ， 或 者 通过 发 送 恶 意 信 息 或 故意 拒绝 服务 来 阻止 完全 过 滤 。 小 于 1280 F 
节 的 数据 报 分 片 都 值得 怀疑 ， 因 为 1280 字 节 是 IPv6 MTU 的 最 小 值 。 

除非 是 你 的 网 络 里 (路 由 或 主机 ) 明确 需要 的 报头 ， 未 知 的 扩展 报头 类 型 
都 应 该 被 丢弃 。 在 已 存在 的 各 类 报头 类 型 中 ， 较 新 的 逐 跳 选项 和 目的 选项 被 定 
义 为 额外 选项 ”1 。 除 了 之 前 讨论 的 ICMPv6， 可 以 借鉴 当前 IPv4 的 过 滤 实 践 。 
请 记 住 ， 在 IPv4 网 络 存 在 的 (分 布 式 ) 拒绝 服务 攻击 、 绥 冲 区 溢出 攻击 、 跨 站 
点 脚本 注入 、SQL 注入 和 其 他 上 层 攻击 ， 也 可 能 发 生 在 IPv6 网 络 中 。 











6.6 内 部 网 络 保护 


许多 组 织 通过 建立 一 个 很 强大 的 边界 和 入 侵 检 测 系统 来 保护 它们 的 内 部 网 
络 。 但 是 ， 内 部 网 络 保护 也 是 必需 的 ， 以 防止 有 意 或 无 意 的 内 部 攻击 ， 而 且 也 
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应 该 是 避免 外 部 攻击 连 和 内 网 的 第 二 道 防线 。 
6.6.1 网 络 侦查 


如 果 一 个 攻击 者 正在 寻找 一 台 主 机 来 安装 蠕虫 或 是 后 门 代理 ， 那 么 他 的 第 
一 步 通常 是 侦查 寻找 潜在 的 受害 者 。 在 IPv4 中 ， 如 果 人 允许 ping 扫描 的 话 ， 则 能 
提供 一 种 简单 上 且 快 速 的 方式 来 检测 一 个 子 网 内 活跃 着 的 卫 地 址 。 在 一 台 给 定 的 
主机 上 增加 TCP 端口 放 开 (SYN) 也 能 被 用 来 尝试 识别 该 台 主 机 的 操作 系统 。 
在 IPv6 中 ,根据 RFC 5157 《IPv6 网 络 扫描 的 影响 》( 即 本 书 参考 文献 [93 ] ) ， 
通过 ping 扫描 一 个 /64 子 网 需要 花费 50 亿 年 。 然 而 ，RFC 5157 也 指出 ， 子 网 内 
这 种 难以 预测 的 、 稀 玖 的 IPv6 地 址 分 配 不 是 一 个 “安全 方案 ”， 尽 管 它 能 帮助 
降低 蠕虫 依赖 网 络 扫描 传播 的 有 效 性 。 另 一 方面 ， 你 从 ::1、:: 2 等 开始 手动 分 
配子 网 地 址 的 话 ， 那 么 扫描 的 工作 将 会 容易 很 多 。 

如 果 你 正在 使 用 没有 私有 扩展 的 SLAAC， 假 设 攻击 者 能 够 确定 在 网 络 上 普 
遍 使 用 的 网 卡 制造 商 ， 那 么 他 /她 能 够 从 2 个 卫 地 址 中 极 大 地 减少 候选 地 址 。 
一 位 前 雇员 或 同事 或 许 知道 网 卡 的 制造 商 ， 可 以 计算 出 8 字 节 接口 ID 中 的 前 5 
个 字 节 ， 即 能 利用 每 个 网 卡 制作 商 以 太 网 OUI 将 扫描 范围 减少 到 2”* 内 。6 字 节 
MAC 地 址 中 前 3 个 字 节 包含 了 IEEE 分 配 的 OUI。 倒 数 第 7 个 最 重要 的 位 是 修改 
EUI-64 过 程 的 一 部 分 。 然 后 追加 Oxfffe, IDD 的 前 40 位 就 可 推导 出 来 了 。 接 下 来 
只 需 找到 剩 下 的 24 位 。 参 考 RFC 5157 里 “每 秒 扫描 一 个 地 址 ”的 速度 来 扫描 ， 
则 需要 花费 195 天 (或 6.5 个 月 ) 依旧 宛 长 的 时 间 但 却 远 远 短 于 50 亿 年 ! 

你 可 以 使 用 SLAAC 私有 扩展 '” 来 避免 这 种 确定 的 接口 DD 计算 ， 以 避免 这 
种 攻击 向 量 。SLAAC 私有 扩展 阻止 了 猜测 地 址 的 行为 ， 但 却 使 得 网 络 管理 更 具 
挑战 性 一 一 在 IPv6 中 ， 花 精力 将 特定 IP 地 址 与 特定 主机 关联 起 来 的 日 子 已 经 一 
去 不 复 返 了 ， 但 是 使 用 私有 扩展 会 为 此 增加 难度 。 网 络 管理 工具 在 取证 和 故障 
排除 中 可 以 通过 使 用 定期 轮 询 交换 机 和 路 由 器 来 追踪 IPv6- MAC 地 址 的 关联 。 


6.6.2 网 络 访问 


除了 发 现 已 分 配 IPv6 地 址 的 已 有 主机 外 ， 另 外 一 种 本 地 网 络 攻击 涉及 攻击 
者 在 给 定子 网 中 获得 自己 的 IPv6 地 址 。 这 种 形式 的 攻击 可 能 始 于 在 用 户 网 络 中 
远程 安装 僵尸 程序 的 恶意 尝试 , 例如， 访客 设备 在 会 议 室 无 意 地 接 入 网 络 ， 或 
其 他 各 种 “意外 ”的 网 络 接 入 形式 。2000 年 中 期 ， 网 络 准 入 控制 (Network Ad- 
mission Control, NAC) 的 准则 层 是 个 很 热门 的 话题 。 当 时 ， 几 家 知名 的 厂商 提 
供 了 一 系列 有 关于 检测 IP 网 络 接 入 ， 限 制 未 知 或 未 认证 的 设备 接 入 网络， 以 及 
加 强 设备 扫描 和 病毒 防护 更 新 等 的 解决 方案 。 

一 些 IPv4 NAC 的 设计 原则 也 可 以 应 用 于 IPv6 NAC, 但 是 NAC 的 实现 却 没 
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那么 简单 ， 通 常 需要 协调 两 个 或 更 多 的 网 络 设备 。 例 如 ， 第 二 层 的 NAC 方案 将 
涉及 通过 捕捉 来 自 交 换 机 的 简单 网 络 管理 协议 (Simple Network Management Pro- 
tocol, SNMP) 陷阱 (trap) 来 检测 相应 交换 机 端口 是 否 被 激活 (“link up”) ， 然 
后 由 Radius 服务 需 通 过 上 AP 协议 向 端口 发 起 认证 挑战 。 第 三 层 NAC 方案 涉及 一 
个 DHCP 服务 器 、 一 个 DNS、 一 个 认证 服务 器 和 一 个 设备 扫描 服务 器 。 这 些 方 
案 将 在 第 8 RARE, 

当然 ，IPv6 增加 了 另外 一 种 IPv4 不 支持 的 地 址 分 配 形式 一 一 SLAAC。 设 备 
将 自动 配置 IPv6 地 址 ， 并 进行 地 址 重复 检测 ， 然 后 连 入 网 络 。 如 果 该 设备 有 意 
或 无 意 地 冒充 路 由 器 ， 它 可 能 在 链 路 上 放出 错误 的 路 由 公告 ， 以 致 拒绝 服务 或 
拦截 数据 报 。 在 你 的 交换 机 上 利用 RA- guard 技术 来 阻 断 来 自 不 是 与 路 由 器 连接 
的 端口 的 RA 消息 ， 能 够 减少 这 类 攻击 。RFC 6105 详 述 了 该 技术 。 

网 络 中 的 设备 在 收 到 “合法 ”的 设置 “M” 位 的 路 由 公告 时 ， 这 样 的 设备 
支持 使 用 DHCPv6 来 分 配 地 址 ， 但 是 大 部 分 攻击 者 并 不 遵循 任何 规则 。 在 处 理 一 
个 特定 源 地 址 发 来 的 数据 报 之 前 ，DHCP 的 LeaveQuery 功能 可 以 用 来 验证 该 地 址 
是 否 是 由 DHCP 所 分 配 的 地 址 。 该 功能 的 运行 方式 是 路 由 器 一 旦 收 到 相连 子 网 
上 设备 发 来 的 数据 报 ， 就 发 送 一 个 LeaseQuery 请 求 给 DHCP 服务 器 来 确定 : 由 
MAC 地 址 〈 通 过 DHCPw4) 或 IPv6 地 址 (或 DUID， 如 果 知 道 的 话 ) 所 标识 的 
设备 ， 是 否 有 一 个 有 效 的 租 期 。 如 果 不 是 ， 那 么 该 数据 报 将 会 被 丢弃 或 是 按照 
路 由 策略 来 处 置 。 该 方法 肯定 会 增加 路 由 融 数 据 报 处 理 功能 的 开销 ,但 在 某 些 
环境 中 可 能 是 值得 的 。 另 一 种 可 选 方法 是 在 你 的 网 络 里 利用 SEND 协议 对 使 用 邻 
节点 发 现 协议 的 设备 进行 认证 。 

6.6.3 DHCPv6 


DHCPv6 具有 和 IPv4 大 致 相同 的 漏洞 ， 除 此 之 外 ， 攻 击 者 接 人 你 的 网 络 后 
通过 监听 所 有 的 DHCPv6 (代理 和 ) 服务 器 多 播 地 址 一 一 ff02: :1:2 (本 地 链 路 ) 
或 ff05: :1:3 (本 地 站 点 ) ， 可 以 更 加 容易 地 建立 一 个 恶意 的 DHCPv6 服务 器 ， 并 
处 理 请 求 (Solicit) 或 更 新 (Renew) 消息 。DHCP 和 DHCPv6 都 支持 认证 机 制 ， 
但 实际 上 由 于 初始 配置 的 复杂 性 ，IPv4 上 的 认证 机 制 很 少 被 实施 。 如 果 DHCPv6 
服务 器 支持 禁用 这 些 多 播 地 址 ， 可 以 通过 用 DHCPv6 服务 器 IPv6 单 播 地 址 来 配 
置 中 继 代理 ， 将 DHCPv6 服务 器 配置 成 “老式 ”的 可 达 方 式 。 通 过 周期 性 地 轮 
询 每 个 路 由 器 上 的 邻接 表 来 查看 谁 在 网 络 上 ， 并 与 之 前 的 记录 进行 比较 来 检测 
网 络 上 的 新 设备 是 否 通 过 DHCPv6 SLAAC 或 甚至 是 手动 配置 了 新 地 址 。 


6.6.4 DNS 
如 果 一 个 网 络 没 有 配置 为 从 可 信任 的 DHCPv6 服务 器 产生 动态 DNS 
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(Dynamic DNS, DDNS) 更 新 ,那么 DNS 更 新 安全 则 是 另 一 个 需要 考虑 的 问题 。 
当 使 用 DHCPv6 时 ， 可 以 在 ACL 中 定义 允许 更 新 DNS 信息 的 DHCPv6 服务 器 IP 
地 址 集合 ， 除 了 如 IPAM 系统 等 管理 系统 外 。 仅 允许 固定 的 节点 或 地 址 集合 对 
DNS 更 新 ， 简 化 了 DNS 的 ACL 规范 。 当 静态 配置 IPv6 地 址 或 使 用 SLAAC 时 ， 
DDNS 需要 更 新 的 地 址 范围 可 能 跨越 整个 网 络 ， 这 将 使 得 DNS 易 受 到 有 害 更 新 
的 攻击 。 首 先 要 问 的 是 ， 此 类 主机 是 否 需 要 DNS 条 目 。 当 然 ， 对 于 Web 服务 
器 、 打 印 机 、 应 用 服务 器 等 用 户 使 用 URL 或 名 字 接 入 的 主机 来 说 ，DNS 解析 是 
需要 的 ，DNS 中 的 条 目 是 至 关 重 要 的 。 许 多 组 织 创建 DNS 条 目 至 少 是 为 了 正 向 
域名 查询 (主机 域名 到 IP 地 址 的 查询 ) 。 反 向 查询 (P 地址 到 域名 ) 是 某 些 应 
用 需要 的 ， 此 时 需要 证 明 存 在 一 个 基本 的 安全 措施 。 你 可 以 选择 占 位 符 解 析 信 
息 或 是 通配符 子 域 (如 *. 8. b. d. 0.1.0.0.2.ip6. arpa) 等 变形 DNS 来 最 小 化 满 
足 现 有 需求 。 使 用 IPAM 系统 (将 在 本 书 第 7 章 讨 论 ) ， 可 以 为 手动 配置 的 IPv6 
地 址 自动 化 地 创建 和 提供 正 向 和 反 向 的 资源 记录 。 


6.6.5 (EH 


如 果 你 正在 使 用 任 播 寻 址 ， 如 使 用 一 个 分 配给 多 个 服务 器 的 公有 IPv6 地 址 ， 
可 以 考虑 配置 服务 器 用 这 个 任 播 地 址 作为 返回 数据 报 的 源 地 址 来 响应 一 个 到 任 
播 地 址 的 入 站 数据 报 。 这 种 方法 适用 于 查询 /响应 的 应 用 ,但 在 面向 连接 的 应 用 
中 可 能 更 不 可 靠 。 正 如 RFC 4942 ( 即 本 书 参考 文献 [95 ] ) 指出 的 ， 这 种 方法 
避免 了 服务 器 单 播 地 址 被 检测 到 ， 特 别 是 当 请 求 被 直接 转发 到 一 个 如 DNS 这 样 
的 关键 网 络 服务 器 时 。 


6.6.6 内 部 网 络 过 滤 


在 其 他 内 部 网 络 漏洞 方面 ， 推 荐 将 之 前 讨论 过 的 以 下 过 滤 方 法 应 用 到 内 部 
路 由 器 来 保护 网 络 边界 。 

。 于 弃 接口 上 接收 的 源 地 址 不 在 给 定 接口 前 级 范围 内 的 数据 报 。 

。 过 滤 没 有 在 你 的 网 络 上 明确 定义 使 用 的 ULA 地 址 空间 。 如 果 需 要 的 话 ， 
拒绝 表 6-1 给 出 的 未 分 配 或 不 合法 地 址 空间 产生 的 流量 。 

o 使 用 认证 功能 来 保护 路 由 协议 安全 。 请 注意 ，OSPFv3 提供 了 两 种 形式 的 
认证 : IPSec 只 最 初 指 定 或 结尾 段 认 证 (Authentication Trailer) 。 

。 丢弃 具 有 路 由 报头 的 数据 报 ， 除 非 你 支持 移动 IPv6 ， 而 且 只 接收 具有 类 
型 2 的 路 由 报头 的 数据 报 。 

© 于 弃 邻 节点 发 现 、 重 复 地 址 检测 及 SLAAC ICMPv6 产生 的 没有 本 地 链 路 
或 未 指明 的 地 址 (::/128)， 或 不 在 255 跳 内 的 数据 报 。 如 果 数 据 报 从 一 个 不 同 
于 本 地 网 络 的 源 地 址 发 送 过 来 ， 将 会 阻止 这 些 消息 的 处 理 。 考 虑 实现 SEND ， 如 
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果 你 的 网 络 设备 支持 的 话 (不 幸 的 是 微软 的 操作 系统 暂时 还 不 文 持 SEND), A 
则 ， 可 以 考虑 创建 更 多 较 小 的 子 网 ， 而 不 是 更 少 的 较 大 子 网 ， 来 减少 暴露 给 本 
地 网 络 攻击 的 范围 。 

。 除非 在 特殊 情况 下 需要 使 用 ， 这 些 ICMPv6 类 型 的 数据 报应 该 被 丢弃 ， 
仔细 考虑 以 下 类 型 。 

V 类 型 139、140。 和 节点 信息 查询 ， 响 应 。 

V 类 型 138。 路 由 重 编号 。 

V 类 型 100、101、200、201。 私 人 实验 。 

V 类 型 127、255。 用 于 扩展 的 保留 类 型 。 

V 类 型 150。 用 于 实验 。 

V 类 型 5~99、102 ~126、156 ~198。 未 定义 (RIM) 消息 类 型 。 

© 定期 检查 日 志 以 便 制 定 一 个 基准 用 于 发 现 异常 。 


表 6-1 地 址 空间 过 滤 建 议 
过 滤 的 地 址 原 K 




































































拒绝 不 明确 的 源 地 址 或 目的 地 址 
:3 拒绝 回环 的 源 地 址 或 目的 地 址 
21/96 拒绝 IPv4- 兼 容 的 源 地 址 或 目的 地 址 
: : ffff: 0: 0/96 拒绝 IPv4- 映射 的 源 地 址 或 目的 地 址 





























拒绝 非法 6to4 源 地 址 或 目的 地 址 (分别 对 应 的 
IPv4 Hh HE: 0.0.0.0/8, 127.0.0.0/8, 255.0.0.0/8, 
224. 0. 0. 0/3 

(224. 0. 0. 0/4&240. 0. 0.0/4) , 100. 64. 0. 0/10, 

10.0.0.0/8, 172. 16.0.0/12, 

192. 168.0.0/16, 169.254.0.0/16, 192.0. 0. 0/24, 
192. 0.2.0/24, 198. 18.0.0/15, 

198. 51. 100. 0/24, 203. 0. 113. 0/24) 


2002: : /24, 2002: 7f00: :/24, 2002: ff00: : /24, 
2002: e000: : /19, 2001: 6440: : /26, 

2002: 0a00: : /24, 2002: acl0::/28, 

2002: c0a8: : /32, 2002: a9fe: : /32, 

2002: c000: : /40, 2002: e000: 200: : /40, 
2002: c612::/31, 2002: c633: 6400: : /40, 
2002: cb00: 7100: : /40 













































































拒绝 外 部 或 穿 过 内 网 的 链 路 本 地 源 地 址 或 目的 

fe80: : /10 
地 址 
fec0: : /10 拒绝 不 被 接受 的 站 点 本 地 源 地 址 或 目的 地 址 
nok 拒绝 多 播 地 址 作为 源 地 址 、 拒 绝 带 有 非 全 网 范围 
的 目的 多 播 地 址 却 越界 的 数据 报 

2001: db8: : /32 拒绝 文件 编制 的 源 地 址 或 目的 地 址 
3ffe: : /16 拒绝 不 被 接收 的 6bone 源 地 址 或 目的 地 址 
ae 拒绝 越界 的 IPv6 “私有 ” (唯一 本 地 ) 源 地 址 或 
aa 目的 地 址 
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6.7 网 络 设备 的 安全 性 考量 


对 于 网 络 和 终端 用 户 设备 来 说 ， 最 后 一 道 防线 当然 是 设备 自身 的 安全 措施 。 
如 今 ， 在 IPv4 中 普遍 使 用 的 主机 安全 措施 也 同样 适用 于 IPvw6 ， 包 括 以 下 几 项 ， 
。 物理 安全 控制 ， 如 网 络 和 应 用 的 基础 设施 。 
安全 访问 ， 通 过 本 地 控制 台 ，SSH 或 其 他 应 用 层 网 络 协 议 。 
密码 管理 策略 。 
终端 用 户 设备 安全 策略 和 指令 。 
主机 数据 报 过 滤 和 防火 墙 。 
V 只 允许 支持 服务 (协议 和 端口 ) 的 数据 报 通 过 。 
V 拒绝 具有 表 6-1 给 出 的 非法 源 地 址 的 数据 报 。 
V 基于 已 定义 类 型 及 你 的 网 络 中 使 用 的 服务 ， 来 允许 ICMPv6 数据 报 入 站 / 
出 站 ， 正 如 在 内 部 网 络 安全 章节 讨论 的 那样 。 
V 拒绝 具有 错误 或 未 知 的 IPv6 报头 的 数据 报 入 站 /出 站 
V 允许 或 拒绝 在 你 的 网 络 明确 规定 的 隧道 协议 ， 如 6to4 和 ISATAP, 
另外 ， 如 果 正 在 使 用 的 主机 操作 系统 支持 过 滤 ICMPv6 数据 报 ， 检 查 关 于 全 
部 或 部 分 IPv6 数据 报 的 ICMPv6 错误 消息 是 否 是 真正 需要 由 主机 发 送 ， 如 果 不 是 
则 丢弃 掉 。ICMPv6 攻击 可 能 伪造 错误 消息 希望 主机 处 理 虚 假 的 数据 报 来 侵入 
设备 。 

















6.8 移动 IPv6 安全 


本 书 第 2 章 介绍 的 范围 包括 了 关于 移动 IPv6 的 基本 概念 。 为 了 更 好 地 理解 
该 协议 的 安全 隐患 ， 那 么 先 来 了 解 通信 路 径 是 怎么 在 移动 节点 ( Mobile Node, 
MN) 、 本 地 代理 (Home Agent, HA) 和 通信 节点 (Correspondent Node, CN) 间 
建立 的 。 回 想 一 下 ，MN 是 移动 IPv6 设备 ，HA 是 为 MN 与 其 本 地 地 址 (Home 
Address，HoA ， 如 在 DNS 上 公布 的 MN 地 址 ) 提供 连接 服务 的 路 由 器 ，CN 是 与 
MN 相互 通信 的 主机 。 

当 MN 在 其 归属 网 络 时 ，CN 发 送 数据 报 给 HoA，HA 通过 本 地 链 路 将 它们 
传输 给 MN。 当 MN 漫游 时 ， 它 将 从 它 当 前 归属 的 网 络 上 获取 一 个 IPv6 地 址 。 这 
个 地 址 就 是 转交 地 址 ( Care-of Address，CoA) 。 当 MN 漫游 时 将 会 通知 HA 它 当 
前 的 CoA 地 址 。 使 用 这 种 方式 ， 当 CN 发 送 数据 报 给 HoA 时 ，HA 就 会 拦截 这 些 
数据 报 并 使 用 其 CoA 将 它们 隧道 传送 给 MN。 返 回 的 数据 报 则 通过 HA 北向 路 径 
发 送 回 来 。 这 种 间接 模式 利用 了 HA 到 MN 的 所 有 的 通信 。 还 有 一 种 更 加 有 效 且 
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直接 的 方式 可 以 使 CN 和 MN 直接 通信 而 不 需要 使 用 HA 隧道 传送 。 下 面 来 了 解 
一 下 这 两 种 通信 模式 是 怎么 创建 的 。 


6.8.1 移动 扩展 报头 


移动 扩展 报头 支持 当前 可 达 MN 地 址 相关 绑 定 信息 的 通信 。 移 动 报头 
(Mobile Header, MH) 的 类 型 字段 值 定义 了 消息 的 类 型 和 相关 参数 : 

。 绑 定 更 新 (移动 报头 类 型 值 为 5)。 通 过 MN 发 送 给 HA 或 CN 来 更 新 其 
CoA 绑 定 。 

。 绑 定 确认 (移动 报头 类 型 值 为 6) 。 通 过 CN 或 HA 发 送 给 MN 来 确认 一 
个 绑 定 更 新 或 报告 一 个 错误 。 

。 绑 定 错误 (移动 报头 类 型 值 为 7) 。 通 过 CN 发 送 给 MN 指示 一 个 移动 有 
关 的 错误 ， 其 中 包括 目的 选项 报头 的 归属 地 址 选项 没有 一 个 现 有 的 绑 定 。 

。 绑 定 更 新 请 求 〈 移动 报头 类 型 值 为 0) iat CN 发 送 给 MN 请 求 在 现 有 
绑 定 上 更 新 。 正 如 接 下 来 将 要 讨论 的 ， 移 动 IPv6 支持 返回 路 径 可 达 过 程 ( Re- 
turn Routability Procedure，RRP) ， 这 能 够 使 CN 验证 MN 存在 HoA 和 CoA 地址， 
以 便 它 可 以 可 靠 地 接收 来 自 MN 的 绑 定 更 新 的 消息 。 

绑 定 更 新 是 由 MN 发 送 至 HA 用 来 注册 MN 当前 的 CoA 的 。 这 些 更 新 必须 通 
过 安全 协议 IPSec 相互 传达 。 如 图 6-1 所 示 ， 其 中 消息 类 型 由 各 自 的 MH 定义 ; 
目的 选项 报头 (Destination Options Header, DOH), ， 路 由 报头 (Routing Header, 
RH) 和 ICMPv6 类 型 的 值 如 图 所 示 。 其 他 报头 参数 ， 即 源 IPv6 地 址 标记 为 S， 
目的 地 址 标记 为 D， 在 每 个 消息 里 标注 。 

如 图 6-1 所 示 ， 在 移动 节点 获取 到 一 个 CoA 后 ， 它 可 能 需要 执行 一 个 发 现 
归属 代理 地 址 和 前 级 的 任务 。HA 地 址 发 现 允 许 一 个 操作 者 使 用 另外 的 一 个 HA 
地 址 ， 而 不 是 将 HA 地 址 人 硬 编码 人 每 个 MN。 请 注意 ， 在 HA 地 址 发 现 过 程 中 没 
有 强制 的 安全 需求 。MN 发 送 一 个 HA 地 址 发 现 消息 (ICMPv6 消息 类 型 144) 给 
归属 代理 任 播 地 址 ( | 归属 网 络 IPv6 前 级 |::7e)。HA 使 用 活跃 的 归属 代理 地 址 
及 ICMPv6 消息 类 型 145 来 回复 。 一旦 HA 被 识别 ，MN 可 以 从 归属 代理 请 求 一 
个 前 缀 公告 ， 该 公告 与 固定 网 络 的 路 由 公告 相似 。 请 求 前 缀 和 公告 的 消息 可 以 
使 用 IPSec 安全 关联 发 送 ， 可 选择 使 用 封装 安全 负载 (Encapsulated Security 
Payload ，ESP) 。 随 后 就 是 绑 定 更 新 过 程 ， 该 过 程 允 许 MN 向 HA 注册 ; 绑 定 更 
新 过 程 需要 安全 关联 。 

对 于 直接 路 由 〈 换 名 话说 ，MN 和 CN 不 通过 HA 路 由 ) 来 说 ， 其 绑 定 更 新 
和 刷新 过 程 被 称 为 RRP。 这 个 过 程 〈 见 图 6-2) 需要 MN 通过 发 送 相应 的 “初始 
化 ”消息 ， 本 地 测试 初始 化 (Home Test Init, HoTI) 消息 和 转交 测试 初始 化 
(Care-of Test Init, CoTI) 消息 ， 来 初始 化 归属 测试 和 转交 测试 。HoTI 消息 使 用 
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Mt e i 








~ (SLAAC,DHCPv6) 
本 地 代理 发 现 请 求 
S:CoA| D:HA anycast | ICMPv6 type 144 
加 本 地 代理 发 现 回 复 
S:HA| D: CoA| ICMPv6 type 145 
移动 前 级 请 求 
S:CoA| D:HA|DOH: MN’s HoA|ICMPvé6 type 146 R 
L BAMA eee) 
S:HA| D:CoA |RH type2 MN’s HoA|ICMPvé6 type 147 























绑 定 更 新 
S:CoA | D:HA| DOH: MN’s HoA |MH type 5 i Sos 
绑 定 确认 IPSec 隧道 (必需 ) 
S:HA| D:CoA| RH type2 MN’s HoA |MH type 6 














图 6-1 归属 代理 发 现 和 移动 节点 注册 


S 1 5 
移动 节点 被 访问 的 网 络 本 地 代理 


HoIIS:COA| D:HA{ HoTI 
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S:CN| D:HoA| MH type 3 S:CN | D:HoA MH type 3} 














W * Hf 


通信 节点 
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| B | CoTI 

S:CoA | D:CN [MH type 2 | 
本 CoT 7 7 | 
S:CN | D:CoA | MH type 4 
























S:CoA|D:HA|DOH:MN’s HoA|MH type 5 


REMA 
S:HA|D:CoA|RH type2 MN’s HoA|MH type 6 






IPSec 隧道 (必需 ) 


图 6-2 移动 IPv6 返回 路 由 可 达 





MN 的 HoA 作为 源 地 址 ，CN 的 地 址 作为 目的 地 址 ， 并 通过 增加 一 个 带 有 源 地 址 


为 CoA 和 目的 地 址 为 HA AY IPv6 报头 通过 隧道 方式 传送 给 HA, HA 除去 隧道 报 
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头 后 ， 将 HoT 消息 路 由 给 CN。 然 后 ，CN 回复 给 HA, HA 通过 隧道 回复 给 MN。 

CoTI 消息 直接 从 MN 发 送 到 CN， 它 将 其 CoA 作为 源 地 址 ，CN 作为 目的 地 
址 。CN 也 直接 回复 MN。 除 了 确认 可 路 由 之 外 ，RRP 为 CN 提供 了 一 层 保障 ， 
MN 的 HoA 和 CoA 地 址 都 是 可 寻 址 的 。MN 在 给 CN 的 每 个 初始 消息 中 包含 一 个 
cookie。 然 后 ，CN 使 用 相应 的 cookie 、 注 册 机 令 牌 和 存储 在 CN 上 的 随机 数 的 索 
引 来 响应 。 归 属 [地 址 ] 的 注册 机 令 牌 是 一 个 使 用 Kc, 密 钥 和 HoA 串联 得 到 的 
hash 值 ， 随 机 数 是 参考 返回 的 索引 和 一 个 单独 的 值 为 “0” 的 字 节 。 相 似 地 ， 转 
交 注 册 机 令 牌 为 一 个 使 用 CN 的 Koy A CoA 串联 得 到 的 hash 值 。 随 机 数 是 参 
考 返 回 的 索引 和 一 个 单独 的 值 为 “1” 的 字 节 。 其 中 用 “| ”来 表示 连接 。 

home keygen token =hash (Key, (HoA |nonce| 0) ) 
care- of keygen token = hash (Key, (CoA |nonce| 1)) 

MN 通过 对 归属 注册 机 令 牌 和 转交 注册 机 令 牌 串联 得 到 的 字符 串 执行 hash 

算法 ， 来 生成 一 个 绑 定 值 Kuw ， 该 值 用 于 发 送 给 CN 的 绑 定 更 新 消息 的 认证 9 : 
Kpu = hash (home keygen token | care- of keygen token) 

然后 ，Ksw 用 来 生成 MN 的 CoA, CN 地 址 和 绑 定 更 新 消息 三 者 串联 的 hash 
值 。HoA 与 归属 随机 数 索 引 和 转交 随机 数 索 引 标记 一 起 在 绑 定 更 新 消息 内 被 传 
送 。 图 6-2 所 示 的 移动 IPv6 返回 路 由 可 达 性 ， 说 明了 消息 交换 的 过 程 。 通 常 ， 
MN 同时 发 送 HoTI 和 CoTI 消息 ， 其 中 消息 类 型 由 图 6- 2 所 示 的 和 以 下 描述 的 
MH 类 型 值 所 定义 。 其 他 报头 参数 为 ， 在 每 个 消息 中 IPv6 源 地 址 标记 为 S， 目 的 
地 址 标记 为 D; 大 括号 内 为 内 部 (被 隧道 ) 数据 报 参数 ， 跟 随 在 显示 的 外 部 数 
据 报 值 后 。 

以 下 四 种 消息 也 能 使 用 移动 报头 发 送 : 

e HoTI 消息 (移动 报头 类 型 值 为 1)。 通 过 到 HA 的 隧道 从 MN 发 送 到 CN, 
来 请 求 CN 的 归属 测试 回应 。 

© CoT 消息 (移动 报头 类 型 值 为 2)。 从 MN 发 送 到 CN, WR CN 的 转交 测 
试 回应 。 

© HoT 消息 (移动 报头 类 型 值 为 3) 。 通 过 HA 从 CN 发 送 到 MN， 以 回应 来 
自 MN 的 HoTI。 

© CoT 消息 (移动 报头 类 型 值 为 4)。 从 CN 发 送 到 MN， 以 回应 来 自 MN 的 
CoTI。 

其 他 移动 报头 类 型 已 经 被 定义 用 作 快 速 绑 定 、 活 跃 移动 切换 、 心 跳 和 绑 定 
撤销 。 当 前 被 定义 的 类 型 由 IANA 维护 ， 详 情 如 下 : http: //www. iana. org/ 
























































O ”为 了 删除 先前 的 绑 定 ， 只 需 使 用 归属 地 注册 机 令 牌 来 生成 Kew 进 行 身 份 验证 ， 即 Ksw = hash (2 
钥 生 成 令 牌 ) 。 
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assignments/ mobility- parameters/mobility- parameters. xml, 
6.8.1.1 路 由 报头 类 型 2 

路 由 报头 类 型 2 支持 直接 路 由 从 CN 到 MN 的 CoA 的 IPv6 数据 报 。 路 由 报 
头 必须 被 路 径 上 的 每 一 个 路 由 器 分 析 。 路 由 报头 类 型 2 可 能 只 包含 一 个 IPv6 地 
址 ， 一 个 MN 的 归属 地 址 。 因 此 ， 当 数据 报到 达 MN 的 指定 CoA 地 址 时 ， 它 将 
尝试 处 理 报头 来 取出 HoA 和 其 固定 地 址 。 这 意味 着 ，MN 将 会 终止 路 由 并 处 理 
数据 报 ( 即 在 MN 的 “本 地 接口 ”之 间 转 发 ) 。 
6.8.1.2 目的 选项 报头 

移动 IPv6 利用 标准 的 IPv6 目的 扩展 报头 来 使 漫游 的 MN 将 其 HoA 传递 给 接 
收 者 。 该 信息 是 由 目的 选项 报头 中 的 归属 地 址 选项 来 传送 的 。 
6.8.1.3 移动 IPV6 消息 流量 小 结 

图 6-3 所 示 的 移动 IPv6 消息 流量 ， 说 明了 返回 路 由 可 达 过 程 后 的 绑 定 更 新 / 
确认 过 程 和 正常 的 IPv6 通信 。 


S i 3 ; 


移动 节点 被 访问 的 网 络 本 地 代理 通信 节点 











HoTI S:CoA1D:HA! e HoTI 
S:HoA| D:CN | MH type 15 S:HoA D:CN MH type 1 


p HoT 
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S:CN | D: HoA| MH type 3} 
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CoTI 
S:CoA | D:CA | MH type 2 
CoT 








S:CN | D:CoA| MH type 4 
绑 定 更 新 

ARE S:CoA| D:CN|DOH:MN’s HoA| MH type 5 

更 新 | _ 绑 定 确认 

S:CN | D:CoA | RH type 2: MN’s HoA| MH type 6 (or 0 or 7) 
数据 报 
数据 S:CoA|D:CN|DOH: MN’s HoA 
传输 | 数据 报 
S:CN| D:CoA| RH type 2: MN’s HoA 


图 6-3 移动 IPv6 消息 流量 
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6.8.1.4 移动 ICMPv6 

正如 本 书 第 2 章 讨论 的 ， 移动 IPv6 规范 已 经 定义 了 一 些 ICMPv6 消息 类 型 。 
为 了 方便 ， 在 此 复述 一 下 。 

。 归属 代理 地 址 发 现 请 求 (ICMPv6 类 型 值 为 144) 。 人 允许 MN 初始 化 动态 
HA 发 现 。 为 移动 的 HoA 前 绥 寻 址 归属 代理 任 播 地 址 ， 这 使 得 移动 时 能 够 确定 归 
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属 网 络 中 的 HA ， 如 漫游 时 HA 将 被 重新 配置 。 
。 归属 代理 地 址 发 现 应 答 (ICMPv6 类 型 值 为 145)。HA 回复 一 个 归属 代理 
地 址 发 现 请 求 ， 来 确定 移动 HA 的 单 播 地 址 。 

。 移动 前 级 请 求 (ICMPv6 类 型 值 为 146)。 使 得 MN 能 收集 有 关于 其 归属 
网 络 的 前 缀 信息， 如 当归 属 网 络 发 生 重 配 置 时 。 

。 移动 前 级 公告 (ICMPv6 类 型 值 为 147) 。HA 通过 这 类 消息 公告 当前 归属 
网 络 前 级 信息 。 

© 移动 IPv6 快速 切换 消息 (ICMPv6 类 型 值 为 154)。 该 类 型 既 能 被 MN 用 
来 刺激 路 由 器 发 送 代理 路 由 公告 ， 也 能 为 代理 路 由 器 为 快速 移动 切换 提供 这 种 


公告 。 




















6.8.2 移动 IJPv6 漏洞 


移动 IPv6 已 设计 了 如 同 非 移动 连接 的 安全 防护 。 然 而 ， 仍 然 存在 能 被 攻击 
者 利用 的 漏洞 。 首 先 ， 如 果 你 的 网 络 不 支持 移动 IPv6 服务 ,那么 应 该 明确 禁止 
以 下 的 相关 ICMPv6 消息 : 

e 过 滤 带 有 IPv6 路 由 报头 、IPv6 移动 报头 或 是 具有 归属 地 址 选项 的 目的 选 
项 报头 〈 所 有 类 型 ， 包 括 类 型 2) 的 数据 报 。 

o 过 滤 类 型 值 为 144 ~ 147 和 154 的 ICMPv6 数据 报 。 

如 果 需 要 支持 移动 IPv6 ， 则 要 考虑 以 下 漏洞 ; 

。 通过 模拟 归属 代理 或 通信 节点 来 拦截 和 重 定向 通信 的 中 间 人 攻击 。 

。 直接 攻击 移动 设备 操作 系统 、 软 件 和 信息 。 

。 防止 拦截 的 通信 安全 。 

。 拒绝 服务 攻击 。 

© 被 访问 网 络 (移动 时 ) 的 安全 策略 。 
6. 8.2.1 恶意 本 地 代理 攻击 

建立 一 个 恶意 HA 使 得 攻击 者 能 拦截 发 往 本 地 网 络 的 MN 绑 定 信息 ， 以 及 丢 
F HoTI 数据 报 来 扰乱 返回 路 由 可 达 过 程 ， 从 而 迫使 数据 报 通过 HA 路 由 。 为 建 
立 恶意 的 HA， 攻 击 者 必须 要 有 一 个 本 地 网 络 的 IPv6 地 址 ， 这 就 需要 先 突破 内 部 
网 络 。 
6.8.2.2 ”中间人 攻击 

恶意 HA 是 中 间 人 攻击 的 一 种 形式 。 一 个 或 多 个 恶意 MN 可 能 会 被 利用 来 进 
行 拒绝 服务 或 至 少 通过 多 个 假冒 MN 发 起 DDOS 攻击 来 影响 HA 的 性 能 。MN 向 
HA 注册 需要 IPSec 连接 ， 这 对 于 攻击 者 来 说 可 能 有 点 困难 。 假 冒 CN 有 相似 场 
景 ，MN 可 被 引诱 到 一 个 虚假 网 站 实施 钓鱼 来 诱骗 个 人 信息 ， 尽 管 这 与 非 移动 
IPv6 连接 没有 什么 不 同 。 
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6.8.2.3 移动 节点 攻击 

如 同 固定 网 络 上 的 终端 用 户 设 备 一 样 ，MN 设备 的 操作 系统 、 应 用 及 储存 在 
MN 上 的 敏感 数据 极 易 被 攻击 。 由 于 MN“ 所 有 者 ”不 能 控制 被 访问 网 络 的 任何 
过 滤 策 略 ， 漏 洞 变 得 更 加 严重 了 。 移 动 设备 上 应 该 提供 某 种 形式 的 设备 用 作 防 
火 墙 来 降低 设备 受到 攻击 的 风险 。 
6.8.2.4 通信 保密 

大 概 绝 大 部 分 移动 IPv6 通信 都 至 少 涉 及 一 种 无 线 通 信 ， 因 此 遭 窃 听 的 概率 
大 于 固定 网 络 通信 。 如 果 无 线 通 信 没 有 加 密 ，MN- HA 通信 的 认证 (可 选择 使 用 
ESP 功能 ) 能 够 提供 数据 加 密 服务 来 减 小 漏洞 。 
6.8.2.5 拒绝 服务 

如 同 其 他 设备 ， 移 动 设 备 也 可 能 成 为 DOS 攻击 的 目标 , 或 者 它们 会 寻求 安 
装 僵尸 软件 来 同时 利用 多 个 节点 进行 DDOS 攻击 。 这 些 攻击 的 特点 是 向 一 个 特 
定 的 了 PP 地 址 发 送 大 量 的 数据 报 ， 而 移动 节点 有 可 能 成 为 受害 者 。 相 对 的 ， 反射 
器 或 smurf 攻击 利用 目标 的 IP 地址 作为 虚假 源 地 址 ， 发 送 如 FTP 甚至 DNS 查询 
请 求 大 量 数据 传输 。 速 率 受 限 的 非 移 动 设备 或 网 络 服务 基础 设施 有 助 于 转移 此 
类 攻击 ， 虽然 这 一 处 理 过 程 对 预期 的 网 络 流量 有 性 能 的 影响 。 
6.8.2.6 被 访问 网 络 的 安全 性 

当 一 个 MN 在 漫游 时 ， 它 必须 从 外 部 被 访问 网 络 获取 一 个 IPv6 地 址 。 如 果 
移动 IPv6 兼容 的 话 ，MN 向 HA 和 CN 注册 这 个 转交 地 址 。 本 地 网 络 管理 者 管理 
MN, HA 和 本 地 网 络 ， 但 是 被 访问 网 络 通常 是 由 其 他 实体 (如 CN) 来 控制 。 攻 
击 者 可 能 企图 假冒 任何 一 个 实体 ， 来 破坏 或 转移 通信 就 像 中 间 人 攻击 一 样 。 坚 
持 使 用 IPSec 有 助 于 保护 移动 Pv6 控制 消息 。 虚 拟 专用 网 络 (Virtual Private 
Network, VPN) 也 可 以 用 来 保护 被 访问 网 络 上 的 流量 。 

关闭 移动 IPv6 控制 消息 类 型 的 最 低 端 的 办 法 是 你 的 网 络 不 支持 移动 IPv6。 
但 是 如 果 支 持 的 话 ， 使 用 适当 的 过 滤器 并 使 用 IPSec， 是 保护 移动 IPv6 通信 的 关 
键 技术 。 所 以 要 检查 你 选择 的 HA 和 MN 产品 对 IPSec 支持 的 程度 。 












































6.9 IPv4/IPv6 共存 措施 


正如 本 书 第 3 章 讨 论 的 ， 有 一 些 选 项 是 用 来 在 IPv4 网 络 中 部 署 IPv6 的 ， 尽 
管 它们 属于 三 大 策略 : 双 协 议 栈 、 隧 道 或 转换 。 双 协议 栈 至 今 还 没有 提出 超出 
本 书 讨论 范围 的 新 要 求 ; 必须 定义 、 文 档 化 、 实 施 和 管理 针对 IPv4 和 IPv6 通信 
安全 策略 。 另 外 一 个 附加 的 管理 要 求 是 利用 所 有 的 地 址 一 一 IPv4 和 IPv6， 来 追 
踪 设 备 。 对 于 可 追溯 、 审 计 、 网 络 访问 追踪 、 取 证 分 析 和 故障 排除 任务 来 说 ， 


这 是 必需 的 。 
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6.9.1 安全 隧道 实施 


在 IPv4 中 ， 隧 道 可 当 作 攻击 载体 ， 将 恶意 的 数据 报 封装 在 无 害 的 隧道 报头 
内 。 只 分 析 外 部 报头 的 过 滤器 极 易 受到 这 类 攻击 的 影响 。 由 于 除了 IP 地 址 格式 
匹配 外 ,没有 任何 预先 的 隧道 配置 ， 只 要 基本 数据 报 参数 是 符合 格式 的 ， 那 么 
隧道 数据 报 通常 都 会 被 接收 并 处 理 ， 自 动 隧道 技术 也 极 易 受到 攻击 。 大 部 分 配 
置 或 手动 的 隧道 都 能 够 通过 检查 协议 字段 是 否 是 “41” 来 过 滤 此 类 IPv4 数据 
报 ， 协 议 字段 为 41 则 表示 封装 了 一 个 完整 的 IPv6 数据 报 。 
6.9.1.1 6to4 

6to4 在 IPv4 上 为 IPv6 提供 了 以 使 用 2000: : /16 地 址 空间 为 特点 的 自动 隧道 。 
如 果 要 拒绝 6to4 的 流量 ， 可 以 丢弃 IPv6 源 地 址 或 目的 地 址 为 2002: : /16 的 数据 
报 。6to4 路 由 器 能 够 将 6to4 IPv4 数据 报 路 由 到 6to4 中 继 路 由 器 ， 该 路 由 器 用 作 
6to4 IPv4 域 与 纯 IPv6 间 的 网 关 。RFC 3964 ( 即 本 书 参考 文献 [97]) 详细 说 明 
了 6to4 的 安全 考量 ， 并 为 6to4 路 由 器 推荐 了 以 下 过 滤 策 略 : 

。 表 6-1 也 给 出 了 应 该 被 过 滤 的 私有 或 不 合法 的 IPv4 地 址 空间 对 应 的 6to4 
地 址 。 

。 过 滤 带 有 外 部 源 IPv4 地 址 的 数据 报 ， 该 源 IPv4 Heh If AR Be ix A BI) IPv6 
源 地 址 〈 即 6to4 的 网 络 前 缀 中) 的 IPv4 地 址 。 

e 过 滤 目 的 IPv6 地 址 是 本 地 链 路 地 址 或 是 IPv4- 映射 地 址 的 数据 报 。 

© 配置 中 继 路 由 器 公告 只 在 来 自 / 发 往 IPv6 域 的 中 继 数 据 报 中 使 用 2002: : / 
16， 而 不 用 在 6to4 节点 间 的 路 由 (6to4 中 继 路 由 器 应 该 总 是 6to4 隧道 的 终点 ) 。 
当 这 样 配置 后 ， 过 滤 从 中 继 路 由 器 收 到 的 源 地 址 不 同 于 中 继 路 由 器 的 6to4 地 址 
(映射 到 外 部 IPv4 源 地 址 ) 的 数据 报 。 

© 过 滤 6to4 目的 地 址 不 属于 你 公告 的 6to4 前 级 的 数据 报 。 

e 对 于 中 继 路 由 器 ， 丢 弃 目 的 地 址 不 是 其 中 继 路 由 本 身 的 6to4 数据 报 。 
6.9.1.2 站 内 自动 隧道 寻 址 协议 

ISATAP 规范 明确 指出 了 使 用 IPv6 IPSec 是 有 必要 的 。 它 还 推荐 一 般 的 
IPv4 入 口 过 滤 ， 特 别 是 IPv4 报头 字段 为 “41” 的 数据 报 一 一 表明 封装 了 IPv6 
数据 报 ， 来 减少 在 一 个 ISATAP 链 路 中 数据 报 注 入 的 漏洞 。ISATAP 路 由 器 上 
的 过 滤 配 置 也 应 该 阻塞 ISATAP 路 由 器 间 的 纯 IPv6 数据 报 来 防止 数据 报 被 往返 
传递 (ping-pong) ， 并 阻塞 IPv4 源 地 址 不 在 本 组 织 合法 ISATAP 用 户 范 围 内 的 
数据 报 。 

攻击 者 控制 ISATAP 客户 端 用 来 传输 IPv6 数据 报 的 首选 路 由 列表 (Preferred 
Router List, PRL) 能 将 ISATAP 流量 重 定向 到 攻击 者 的 路 由 器 上 。PRL 应 该 保持 
更 新 ， 而 相关 主机 名 为 “isatap” 的 DNS 条 目 也 应 该 经 常 检 查 。 
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6.9.1.3 Teredo 

Terodo 被 设计 用 来 在 你 的 防火 墙 上 开 个 洞 ， 使 得 IPv6 数据 报 隧道 能 通过 防 
ASH, RFC 4380, Bl Teredo 的 规范 ， 指 出 了 一 些 安全 漏洞 和 建议 缓解 方案 ， 见 
表 0-2。 














表 6-2 Teredo 漏洞 和 缓解 方案 
漏 洞 缓解 方案 


限制 一 些 本 地 链 路 服务 
防火 墙 漏洞 实施 本 地 (主机) 防火墙 
使 用 Teredo 隧道 内 支持 的 IPSec 
































在 Teredo 服务 器 和 客户 端 间 进 行 随机 数 认 证 。 攻 击 者 
必须 在 “路 径 ” 上 ， 因 此 除了 拒绝 客户 端 服务 ， 攻 击 将 
很 难 进 行 























作为 中 间 人 拦截 和 欺骗 路 由 公告 的 Teredo 
服务 器 




















使 用 Teredo 直接 IPv6 连接 测试 流程 ， 该 流程 由 随机 数 
认证 保护 
端 到 端的 保密 性 使 用 IPSec 来 阻止 欺骗 和 窃听 


























Teredo 中 继 欺 骗 


















































使 用 本 地 主机 Teredo 中 继 ， 要 求 身份 认证 、 停 用 本 地 
拒绝 Teredo 服务 发 现 ， 以 及 部 署 不 同 的 Teredo 服务 器 ， 这样 有 助 于 减少 
各 类 拒绝 服务 类 攻击 




















使 用 Teredo 服务 器 拒绝 目标 主机 服务 的 通过 观察 已 知 流量 的 规律 和 语义 ， 可 以 将 反射 流量 识 
反射 器 攻击 别 出 来 





6.9.2 安全 转换 实施 


转换 网 关 处 理 所 有 需要 转换 的 数据 报 ， 这 可 能 是 根据 你 的 部 署 计划 所 产生 
的 所 有 面向 因特网 的 流量 。DO0OS 攻击 的 防护 和 非 期 望 IP 源 地 址 和 目的 地 址 的 过 
滤 ， 都 应 该 实施 。 鉴 于 攻击 者 有 能 力 修改 IPv6 前 绥 来 破坏 通信 ， 用 来 转换 的 
IPv6 前 级 的 配置 必须 要 足够 安全 。 此 外 ，RFC 6052 推荐 支持 对 IPv6 可 转换 地 址 
中 能 入 的 IPv4 地 址 的 过 滤 ' 引 ， 就 像 对 原生 IPv4 地 址 的 过 滤 一 样 。 

值得 注意 的 是 ， 尽 管 ESP 隧道 模式 的 数据 报 能 够 被 转换 ， 但 IPSec 里 份 认证 
报头 不 能 使 用 IPv4/1Pv6 SHN FRH, RA checksum- neutral 地 址 被 使 用 时 ，ESP 
传输 模式 才能 成 功 在 IPv4/IPv6 DN E KpE 。 











6.10 ”小结 


在 基础 设施 、 卫 地 址 和 网 络 管理 中 ， 定 义 一 种 安全 策略 来 文 持 IPv6 实施 是 
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一 个 重要 的 规划 步 又。 应 该 根据 本 章 讨 论 的 计划 支持 的 IPv6 功能 ， 更 新 当前 的 
IP 安全 策略 。 这 些 更 新 策略 则 需要 与 当前 安全 基础 设施 和 系统 一 一 对 应 。 需 要 
确定 差距 ， 然 后 通过 更 新 、 购 买 或 替换 软 硬 件 ， 或 是 通过 确认 不 足 和 记录 暂时 
解决 方法 ， 来 减少 风险 。 

图 6-4 所 示 的 IPv6 部 署 的 安全 计划 ， 说 明了 本 章 提 出 的 发 现 和 所 需 的 IPv6 
安全 策略 比较 的 过 程 。 任 何 缓解 步骤 必须 被 记录 ， 并 将 财力 和 人 力 上 的 洪 在 预 
算 编 入 ， 最 后 反馈 到 总 体 部 署 项 目 计 划 中 。 


IPv6 安 全 计 
划 过 程 开 始 


























详细 列举 
补救 列表 






基准 项 目 
和 JP 计划 
和 预算 

IPVv6 部 署 
项 目 计划 


图 6-4 IPv6 部 署 的 安全 计划 


7a IPv6 网 络 的 管理 计划 


从 技术 上 来 说 ， 本 章 应 该 叫做 IPv4/IPv6 的 管理 计划 ， 因 为 你 很 有 可 能 在 保 
FF IPv4 网 络 的 基础 上 部 署 IPv6 网 络 。 正 如 已 经 知道 的 ， 引 入 一 个 新 的 网 络 层 协 
议 IPv6 到 原 有 网 络 中 需要 考虑 非常 多 东西 ， 包 括 新 协议 的 地 址 分 配 、 新 协议 对 
于 每 一 个 设备 的 可 达 性 、 新 协议 的 应 用 支持 和 新 协议 的 安全 问题 。 管 理 IPv6 部 
分 的 网 络 是 部 署 IPv6 计划 中 一 个 与 其 他 部 分 同等 重要 的 组 成 部 分 。 不 管 怎么 样 ， 
如 果 IPv6 的 某 个 部 分 可 以 被 部 署 ， 但 是 不 能 被 合理 地 配置 或 监控 ， 那 么 很 少 组 
织 会 实施 这 种 部 署 。 这 也 是 必然 的 结果 ， 因 为 网 络 管理 是 保证 网 络 运 作 的 一 个 
非常 重要 的 功能 。 除 了 少量 本 地 设备 组 成 的 网 络 能 在 每 一 个 接口 上 通过 蛮 力 方 
式 配置 之 外 ， 网 络 管理 通过 给 分 布 式 网 络 提 供 一 个 集中 视角 产生 了 很 大 的 价值 。 
因此 ， 通 过 对 检测 到 的 网 络 事件 进行 关联 和 安全 优先 排序 ， 理 顺 了 资源 需求 和 
提高 了 效率 。 





























7.1 管理 模型 





最 经 常 使 用 的 网 络 管理 框架 是 用 于 网 络 管理 的 FCAPSS 模 型 。IT 基础 架构 
JE (Information Technology Infrastructure Library, ITIL) 是 一 套 流行 的 管理 企业 IT 
基础 设施 的 指南 。 由 英国 的 政府 商务 办 公 室 (Office of Government and Commerce, 
OGC) 开发 的 人 TI， 是 把 全 组 织 看 成 企业 的 服务 提供 商 的 一 个 最 佳 实践 框架 。 同 
时 ， 它 整合 了 一 些 和 FCAPS 相似 的 功能 ， 虽 然 它 的 多 数 功 能 是 面向 服务 的 。 

FCAPS 模型 在 网 络 管理 的 实践 中 包括 如 下 几 个 主要 功能 : 

e。 下 ， 指 故障 管理 (Fault Management) ， 包 括 监 视 和 检测 网 络 故 障 ， 并 能 诊 
断 、 隔 离 和 解决 这 些 故障 。 具 体 来 讲 ， 需 要 对 一 些 像 路 由 器 、 服 务 器 和 交换 机 
等 网 络 单元 进行 监视 并 发 现 故 障 或 运行 中 断 ， 以 及 像 DHCPv6 和 DNS 这 样 的 网 
络 服务 同样 能 够 被 监视 。 

o C， 指 配置 管理 (Configuration Management) ， 包 括 对 路 由 器 和 交换 机 这 样 
的 网 络 单元 进行 精确 配置 和 备份 ， 以 及 网 络 服务 。 其 中 至 少 包括 网 络 层 的 应 用 
和 数据 库 服务 器 的 配置 和 备份 。 对 网 络 单元 精确 和 及 时 的 配置 能 减少 错误 产生 ， 














© FCAPS 是 由 ITU 标准 M. 3400 定义 的 ， 是 数据 网 络 管理 中 的 通信 管理 网 络 (Telecommunications 
Management Network, TMN) 框架 的 一 部 分 。 
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也 能 减少 在 转换 管理 窗口 时 的 延 时 。 

eA, 指 计 费 管理 ( Accounting Management) , 包括 基于 业务 限定 或 客户 授权 
范围 内 追踪 和 监控 网 络 资源 的 使 用 情况 。 访 问 控制 策略 (access control policies) , 
涉及 业务 参数 的 网 络 使 用 ， 以 及 对 服务 水 平 协议 (Service Level Agreement, 
SLA) 监控 都 在 计 费 管理 范围 内 。 

。P， 指 性 能 管理 (Performance Management) ， 处 理 追 踪 网 络 单元 和 网 络 服 
务 的 性 能 和 资源 利用 的 问题 。 具 体 来 说 ,追踪 网 络 资源 使 用 情况 、 网 络 / 服 务 器 
的 性 能 和 数据 流 都 在 性 能 管理 的 范畴 之 内 。 

eS, 指 安 全 管理 (Security Management ) ， 包括 保护 网 络 和 网 络 用 户 的 信息 
安全 ， 提 供 访问 控制 、 审 计 日 志和 安全 违规 检查 。 之 前 的 章节 已 经 对 安全 这 一 
块 进行 了 清晰 的 阐述 ， 所 以 本 章 将 不 再 讨论 这 个 话题 。 

将 会 以 FCAPS 为 背景 来 讨论 IPv6 网 络 管理 ， 以 适当 的 篇 幅 讨论 包括 像 资产 
追踪 (inventory tracking) 、 地 址 管理 、 配 置信 息 数据 库 和 发 行 与 修改 管理 在 内 的 

JA 














能 。 实 际 上 ， 下 面 会 从 “配置 ”功能 ， 特 别 是 资产 和 地 址 管理 开始 讨论 ， 
这 些 功 能 对 于 定义 FCAPS 中 其 他 功能 的 范围 至 关 重 要 。 举 例 来 说 ， 你 的 路 由 
资产 是 包含 在 进行 故障 或 性 能 监控 的 一 组 设备 中 的 。 


o 
3 





W l m 


oy 


了 


7.2 网 络 管理 的 范围 


在 IPv6 部 署 计 划 所 涉及 的 全 部 范围 内 ， 你 进行 IPv6 部 署 的 网 络 部 分 由 对 
IPv4 及 IPv6 信息 可 以 管理 和 追踪 的 部 分 组 成 。 一 定 要 从 网 络 管理 角度 来 考量 在 
部 署 范 围 内 的 每 一 个 基础 设施 或 用 户 终 端 、 应 用 程序 和 交换 网 络 组 件 。 这 些 都 
必须 要 从 评估 你 的 目标 范围 的 当前 组 成 部 分 开始 。 


7.2.1 网 络 库存 


网 络 库存 (network inventory) 是 指 在 你 的 网 络 范 围 内 或 目标 范围 内 所 有 的 
路 由 器 、 交 换 机 、 存 储 点 、 通 信服 务 器 、 打 印 机 和 用 户 终 端 设备 的 资产 。 这 个 
库存 是 IPv6 部 署 计 划 中 的 重要 组 成 部 分 ， 可 以 用 于 确认 设备 、 操 作 系统 和 应 用 
究竟 是 本 吴 就 文 持 IPv6 还 是 需要 修改 或 升级 以 支持 IPv6 (正如 本 书 第 4 草 所 讨 
论 的 ) 。 对 每 一 个 网 络 单元 的 设备 ， 需 要 记录 以 下 信息 : 供应 商 、 制 作 模型 
(make model) 、 操 作 系 统 和 版 本 、 功 能 或 应 用 、 设 备 的 硬件 模块 和 网 络 接口 。 
设备 标识 信息 也 需要 被 记录 ， 这 些 信 息 包括 : 主机 名 、DHCP 唯一 标识 符 
(DHCP Unique Identifier，DUID)、 每 个 接口 的 MAC 地址、 每 个 接口 的 接口 关联 
标识 符 (Interface Association Identifier，IAID) ， 每 个 接口 的 IPv4 和 IPv6 地 址 。 
设备 访问 信息 应 该 要 安全 地 维护 好 ,包括 像 SSH 登录 名 和 密码 ， 以 及 SNMP 团 
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体 名 和 密码 等 信息 。 
7.2.2 IP 地址 库存 


IPAM 和 库存 管理 功能 在 把 IPv4 和 IPv6 地 址 分 配给 网 络 中 的 合法 设备 时 存 
在 交织 。 此 外 IPAM 也 可 以 帮助 发 现 网 络 中 使 用 IP 网 络 的 设备 ， 并 且 可 以 帮助 
识别 网 络 中 的 新 设备 和 移动 过 的 设备 。 同 时 IPAM 通常 情况 下 比 库存 管理 的 范围 
来 得 广 ， 因 为 它 的 功能 还 包括 分 别 使 用 相应 的 主机 域名 和 卫 地 址 池 来 配置 DNS 
All DHCP 服务 器 。 

实际 上 ， 在 根据 拓扑 结构 为 分 配 地 址 而 映射 层次 化 地 址 块 的 时 候 ，IPAM 功 
能 和 网 络 拓扑 结构 相 吻 合 。 正 如 在 本 书 第 5 章 地 址 规划 中 讨论 到 的 IPv6 需要 分 
层 地 址 分 配 。 运 用 有 约束 的 IPAM， 使 得 单个 地 址 分 配 、 路 由 通告 和 DHCP 地 址 
池 可 以 遵守 分 层 地 址 计划 ， 在 保持 网 络 地 址 一 致 的 同时 简化 了 地 址 分 配 过 程 。 
总 之 ， 资 产 管理 功能 提供 了 一 个 含有 相关 属性 的 网 络 设备 统一 库存 ， 这 些 属性 
包括 与 IPAM 功能 关联 的 IP 地 址 ，IPAM 功能 是 把 IP 地 址 分 配给 子 网 和 动态 地 
址 分 配 的 DHCP 服务 器 ， 并 附带 相关 的 DNS 域名 信息 。 
通常 情况 下 ， 设 备 资产 在 IPv6 部 署 之 前 和 之 后 应 该 基本 相同 。 即 ，IPvw6 的 
配置 不 需要 新 的 硬件 ， 虽 然 有 的 时 候 可 能 会 需要 对 一 些 传统 设备 进行 更 换 。 另 
外 ， 有 的 人 也 许 会 在 初期 通过 增加 部 署 额 外 的 一 些 硬件 设备 来 暂时 隔离 IPv6 服 
务 器 ， 不 过 这 个 只 是 一 个 可 选项 。 因 此 ， 一 个 在 IPv6 部 署 以 前 已 经 维护 准确 的 
设备 和 IP 库存 仓库 (如 作为 评估 阶段 的 结果 ) 的 组 织 ， 应 该 已 经 准备 好 进行 
IPv6 的 部 署 了 ， 而 且 它 们 应 该 能 够 对 每 个 IP 寻 址 计划 进行 IPv6 子 网 和 地 址 分 配 
来 补充 资产 和 IPAM 仓库 。 


7.2.3 管理 网 络 


因为 一 些 或 者 全 部 路 由 被 配置 到 IPv6 网 上 并 不 意味 着 管理 信息 一 定 要 通过 
IPv6 来 传输 。 例 如 ， 轮 询 IPv6 相关 的 管理 信息 库 (Management Information Base， 
MIB) 可 以 用 IPv4 来 完成 ， 正 如 可 以 用 IPv6 来 轮 询 IPv4 相关 的 数据 。 如 今 在 IP 
网 络 主要 的 管理 应 用 协议 ， 如 SSH, Telnet, TFTP, syslog, ping, traceroute 和 
SNMP， 都 支持 IPv6。 虽 然 轮 询 信息 和 检测 警告 可 以 使 用 任何 协议 ， 但 是 连通 性 
和 可 达 性 的 测试 ， 像 ping, 、traceroute， 或 者 网 络 测试 工具 ， 像 dig (DNSlookup 
工具 ) ， 应 该 要 在 对 应 的 传输 协议 上 运行 才能 模仿 客户 体验 。 



































7.3 简单 网 络 管理 协议 


SNMP 是 卫 设 备 实际 上 的 网 络 管理 协议 ， 这 些 IP 设备 至 少 包 括 像 路 由 器 、 
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服务 器 、 打 印 机 等 基础 设施 设备 。SNMP 定义 了 对 被 管理 设备 的 配置 和 信息 检索 
的 通信 协议 。 它 的 基本 结构 包括 一 个 网 络 管理 者 (network manager) 。 这 个 网 络 
管理 者 使 用 基于 IP 的 SNMP， 通 过 各 个 被 管理 设备 上 运行 的 代理 来 与 一 个 或 多 
个 被 管理 设备 通信 。 这 个 代理 可 以 从 被 管理 设备 上 访问 相关 的 数据 ， 并 通过 
SNMP 与 网 络 管理 者 交互 。 被 管理 设备 上 这 些 可 以 进行 配置 和 /或 被 收集 的 信息 ， 
是 通过 设备 所 支持 的 各 MIB 中 的 数字 和 类 型 所 定义 。 

SNMP 为 被 管理 信息 (managed information) 定义 了 一 个 整体 的 信息 层次 ， 
而 各 MIB 定义 了 信息 对 象 的 结构 ， 或 一 组 给 定 度量 的 变量 。MIB-II 是 目前 正在 
使 用 的 MIB 版 本 。 你 可 以 认为 MIB 是 一 个 数据 库 的 表 ， 而 表 的 每 一 行 是 一 个 对 
象 标识 (Object Identiftier，OID) ， 每 一 个 OID 是 由 自己 在 标准 SNMP 对 象 分 层 中 
的 位 置 唯一 数字 标识 的 。 这 让 任何 厂商 管理 系统 能 通过 一 个 标准 的 OID 值 来 访 
问 已 知 变量 。 

SNMP 标准 最 初 被 开发 出 来 的 时 间 比 IPv6 作为 一 个 网 络 协议 标准 被 开发 出 
来 的 时 间 要 早 。 因 此 MIB 定义 的 IP/ICMP, TCP, UDP 只 对 IPv4 的 地 址 格式 和 
信息 有 效 。 在 IPv6 标准 被 提出 以 后 ， 新 的 MIB 就 对 IPv6 、ICMPv6 TCP 和 UDP 
进行 了 定义 。 此 后 ， 标 准 就 演化 成 能 够 在 传输 过 程 中 支持 IPv4 和 IPv6， 并 且 ， 
MIB 的 数据 结构 也 变 得 能 够 支持 IPv4 和 IPv6， 而 这 一 切 都 是 从 支持 IP 地 址 数据 
结构 开始 的 。 在 旧 的 MIB-I 版 本 中 ,一 个 耳 地 址 文本 习惯 上 是 约定 为 4 个 八 位 
字 节 串 ， 这 也 是 所 有 和 IP 地 址 有 关 的 对 象 变量 的 标准 习惯 。RFC 4001 ( 即 本 书 
参考 文献 [98]) 定义 了 互联 网 地 址 类 型 (InetAddressType) 和 互联 网 地 址 
(InetAddress) 对 ， 分 别 标识 IPv4 或 IPv6 的 协议 类 型 和 对 应 的 地 址 。 这 样 ， 对 象 
属性 中 表达 的 IP 地 址 就 可 以 通过 类 型 和 实际 地 址 确定 了 。 

除了 统一 的 卫 地 址 文本 习惯 ，SNMP FLEX IP, TCP, UDP 和 IP- FORWARD 
(路 由 信息 ) 支持 通用 的 各 MIB ， 而 非 单独 的 IPv4 和 IPv6 版 本 。 虽 然 有 一 些 设 
备 可 能 会 含有 特定 供应 商 自己 定义 的 和 特定 应 用 定义 的 MIB 信息 ， 但 这 整体 上 
对 节省 配置 SNMP 管理 器 和 “IP 地 址 ”管理 的 时 间 十 分 有 益 。 


7.3.1 配置 管理 


网 络 资产 和 IP 地 址 计划 决定 了 管理 的 范围 。 正 如 前 面 章 节 关 于 安全 的 叙述 ， 
周期 性 地 扫描 网 络 来 发 现 新 的 或 移 走 的 IP 地 址 或 设备 是 一 个 好 主意 。 对 于 每 一 
个 被 管理 设备 ， 配 置 可 以 是 通过 使 用 很 多 不 同 的 配置 管理 工具 来 管理 的 。 这 些 
工具 必须 支持 你 所 选 的 传输 协议 一 一 IPv4 , IPv6, 或 者 同时 支持 两 者 ， 而 且 必 须 
能 配置 IPv6 参数 。 

如 果 你 计划 使 用 IPv6 作为 传输 协议 ， 定义 好 IPv6 地 址 分 配 机 制 是 很 有 必要 
的 ! 你 可 以 使 用 SLAAC 和 DHCPv6 中 的 一 个 或 两 个 ;也 可 以 考虑 使 用 隐私 选项 ， 
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虽然 这 并 不 能 用 在 那些 需要 使 用 可 靠 或 固定 地 址 的 基础 设施 上 。 使 用 IPAM 系 
统 ， 不 但 可 以 减少 在 同时 进行 IPv4 和 IPv6 地 址 空间 管理 时 出 现 错误 ， 也 可 以 在 
大 多 数 情况 下 自动 为 DHCP 服务 器 和 DNS 提供 相应 的 地 址 、 域 名 和 资源 记录 信 
息 。 不 论 如 何 ， 每 一 个 网 络 资源 仓库 的 入 口 都 应 该 连接 到 它 已 分 配 的 地 址 和 分 
配方 法 ， 以 及 其 他 相关 需要 的 配置 和 初始 化 参数 上 。 

配置 或 者 查看 分 配给 网 络 设 备 上 的 IPv6 地 址 要 求 管理 系统 支持 IPv6 地 址 的 
解析 和 显示 功能 。 这 和 别 的 使 用 IPv6 进行 通信 和 显示 的 应 用 一 样 。 所 以 ， 当 评 
估 你 当前 的 网 络 管理 工具 能 力 的 时 候 ， 这 是 一 个 非常 重要 的 标准 。 


7.3.2 故障 管理 


故障 管理 必须 监控 网 络 连 接 和 设备 、 告 警 ， 和 排除 故障 解决 问题 ， 以 使 网 
络 顺畅 运行 。SNMP MIB 轮 询 (polling) 或 者 SNMP 陷阱 (trap) 通常 被 用 来 监 
探 设备 状态 ， 侦 测 告警 状态 。 这 些 被 监控 和 捕捉 的 各 MIB 和 陷阱 应 该 被 文档 化 ， 
而 且 应 该 为 每 个 被 监控 设备 所 支持 。 正 在 使 用 的 或 计划 使 用 的 网 络 管理 系统 ， 
也 必须 实现 对 这 些 MIB 和 陷阱 的 可 视 化 和 陷阱 处 理 过 程 进行 文 持 。 

其 他 供应 商定 制 的 管理 通告 格式 应 该 要 支持 IPv4 、IPv6， 或 者 同时 支 持 两 
者 。 一 旦 一 个 监控 参数 的 变化 超过 了 它 的 “正常 ”范围 ， 必 须 采取 主动 行动 来 
识别 这 种 变化 的 原因 ， 并 采取 任何 正确 而 必要 的 行动 来 避免 更 大 的 网 络 问题 。 
当然 所谓“ 正常 ”是 通过 对 给 定 变量 长 时 间 的 观察 并 计算 出 它 的 平均 值 和 可 
以 接受 的 方差 来 决定 的 。 根 据 被 监控 的 变量 及 其 在 整个 网 络 中 的 影响 ， 度 量 阔 
值 可 以 是 严格 或 渐变 地 提供 信息 (info) 、 警 告 ( warning ) 和 严重 (critical) 等 
不 同等 级 的 通告 的 。 

在 刚 开 始 部 署 的 时 候 ， 特 别 是 从 安全 监控 的 角度 来 说 ， 为 了 “ 超 管 理 ” 早 
期 的 IPv47IPv6 运营 ， 浆 值 可 能 会 被 严格 设置 在 期 望 的 平均 值 附近 。 如 本 书 第 6 
章 所 说 ， 防 火 墙 必须 有 详细 的 日 志 记 录 和 分 析 ， 以 识别 所 有 破坏 策略 的 行为 。 
在 安全 和 通信 两 方面 ， 在 基本 顺畅 运行 数 月 之 后 ， 可 以 放宽 阔 值 ， 但 仍然 需要 
临时 的 “抽查 ”来 复 检 。 

监控 网 络 占用 情况 ， 或 者 监控 有 哪些 拥有 自己 特定 IP 地 址 的 设备 在 网 络 上 ， 
对 验证 地 址 计划 和 地 址 分 配 的 合理 性 ， 以 及 发 现 潜在 可 疑 设备 或 欺骗 设备 ， 是 
非常 重要 的 。 周 期 性 地 轮 询 (polling) 路 由 器 的 ARP RRE IPv6 邻 节 点 表 ， 为 
检测 上 述 信息 和 状态 提供 了 方便 。 

故障 排除 过 程 的 文档 应 该 明确 ， 当 超过 国 值 或 IPv6 相关 或 IPv6 寻 址 设备 相 
关 的 告警 被 检测 到 时 的 相关 处 理 步骤 。 双 协议 栈 设备 在 一 个 协议 上 不 可 达 ， 可 
能 在 另外 一 个 协议 上 是 可 达 的 ， 这 为 检测 地 址 分 配 、 路 由 或 设备 IP 的 协议 栈 等 
问题 提供 一 个 十 分 有 效 的 方法 。 
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7.3.3 计 费 管理 


计 费 管理 包括 对 网 络 资产 的 追踪 。 计 费 管理 中 很 大 的 一 部 分 任务 是 处 理 对 
设备 、 卫 地 址 分 配 、 用 户 和 应 用 的 追踪 。 由 于 IPv6 子 网 中 的 地 址 空间 很 大 ， 把 
地 址 追踪 技术 转换 到 IPv6 上 是 很 有 挑战 性 的 。 轮 询 路 由 器 SNMP 的 “ipNetTo- 
Physical” 表 为 从 一 个 中 心地 点 追踪 各 个 IPv6 地 址 分 配 提 供 了 一 个 好 方案 。 像 
nmap 这 样 的 网 络 探测 工具 也 可 以 通过 实施 多 播 ping 来 引发 响应 ， 或 其 他 方式 进 
行 被 动 发 现 。 不 管 收集 机 制 是 什么 ， 把 收集 结果 报告 给 中 心 IPAM 系统 可 以 帮助 
发 现 子 网 中 新 的 移 走 的 或 者 移动 的 设备 。 如 果 你 的 IPAM 系统 支持 这 些 方式 的 发 
现 功能 ， 你 已 经 可 以 追踪 IPv6 设备 了 。 否 则 ， 应 该 向 你 的 供应 商 询 问 最 新 的 路 
线 图 。 


7.3.4 性 能 管理 


很 多 性 能 管理 系统 使 用 SNMP 进行 数据 收集 、 数 据 聚 合 和 数据 报告 。 所 以 ， 
考虑 到 之 前 讨论 过 的 SNMP 能 够 同时 支持 IPw4 和 IPv6， 应 该 能 够 很 轻易 地 让 性 
能 管理 系统 支持 IPv6。 也 许 实施 这 个 系统 最 大 的 困难 在 于 用 户 接口 的 数据 表示 ， 
这 个 数据 表示 混合 了 IPv4 和 IPv6 流量 信息 。 网 络 探 针 这 时 候 也 可 以 用 来 “ 监 
WE” IPv6 流量 和 相关 的 TCP 流量 控制 和 ICMPv6 信息 ， 以 发 现 流量 模式 和 潜在 
问题 。 














7.4 方法 和 过 程 


多 数 的 组 织 会 为 预 配置 、 监 控 、 测 试 及 对 计算 或 网 络 设备 诊断 的 标准 化 方 
法 和 过 程 (Method and Procedure，M&P) ， 建 立 文 档 。 随 着 IPv6 的 部 署 ， 这 些 文 
档 需 要 更 新 。 虽 然 部 署 IPv6 就 意味 着 引入 另外 一 个 可 能 在 网 络 中 出 现 错误 的 东 
西 ， 但 是 它 也 为 指定 设备 的 异常 处 理 提供 了 另外 一 个 可 选 的 网 络 层 路 由 。 设 备 
在 一 个 协议 上 可 达 而 在 另外 一 个 协议 上 不 可 达 ， 可 能 说 明 是 路 由 或 者 是 设备 协 
议 栈 问题 。 在 更 新 M&P 文档 时 要 考虑 的 关键 点 中 ， 应 注意 以 下 几 点 : 

e 分 配 地 址 块 和 子 网 的 过 程 。 特 别 是 在 为 一 个 单一 IPv6 子 网 或 一 个 IPv4/ 
IPv6 双 栈 环境 ， 分 配 地 址 块 和 子 网 时 。 

o 如 果 使 用 的 是 SLAAC 或 DHCPv6 ， 准 备 和 配置 新 设备 的 过 程 可 能 是 不 费力 
的 。 不 过 对 于 那些 手动 设 定 地 址 的 设备 ， 准 备 过 程 需要 记录 IPv4 和 IPv6 地 址 的 
分 配 情况 以 及 相关 的 参数 。 

。 异常 检测 指南 应 该 包含 IPv6 相关 统计 信息 和 告警 ， 以 及 用 于 隔离 和 解决 
异常 的 所 需要 采取 的 行动 。 
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© 故障 排除 步骤 应 该 要 包括 同时 或 分 别 通过 IPv4 和 IPv6 与 一 个 指定 设备 通 
信 的 步骤 。 

e 计 费 功能 中 的 发 现 模块 应 该 要 包括 对 IPv6 邻 节 点 表 轮 询 ， 或 者 如 nmap 这 
样 的 发 现 工具 的 使 用 。 分 析 不 同 地 址 分 配方 式 时 必须 要 考虑 到 SLAAC 中 的 隐私 
扩展 和 DHCPv6 的 使 用 。 而 对 未 授权 设备 的 检查 功能 需要 通过 对 发 现 的 主机 信息 
与 授权 的 DHCP 唯一 A dl aaa Baca ide 

o 性 能 管理 过 程 必须 要 包括 IPv6 MIB 统计 数据 和 性 能 结果 报告 

。 安 全 系统 监控 过 程 必须 包括 本 书 第 6 意 所 述 的 IPv6 过 滤 指 南 ， 记 录 日 志 
检查 步骤 来 帮助 发 现 可 能 的 攻击 ， 并 验证 安全 策略 设置 。 

设备 部 署 的 测试 阶段 为 改善 M&P 文档 提供 了 一 个 好 机 会 





7.5 小 结 


sep pb ie ip ian te 样 ， 但 是 必须 考虑 两 种 
协议 的 所 有 网 络 管理 方面 ， 包 括 配置 管理 、 故 障 管理 、 计 费 管理 和 性 能 管理 。 
II 
输 。 确 定 自己 网 络 管理 设备 是 否 有 这 种 能 力 请 参考 本 书 第 4 章 所 描述 的 分 析 过 
程 。 根 据 所 需 的 升级 和 已 有 资源 ， 一 个 优先 修正 措施 列表 就 可 以 添加 到 整个 
IPv6 部 署 计 划 中 去 。IPv6 网 络 管理 计划 过 程 如 图 7-1 所 示 。 


网 络 管理 


开始 IPv6 
计划 过 程 





图 7-1 IPv6 网 络 管理 计划 过 程 





8.1 整体 计划 


在 之 前 章节 令 述 的 计划 工作 的 基础 上 ， 现 在 可 以 开始 准备 把 所 有 计划 整合 
起 来 了 。 这 其 中 包括 了 地 址 计划 、 基 础 设施 的 修改 或 增添 的 计划 ， 安 全 策略 升 
级 计划 和 网 络 管理 计划 。 这 个 整合 让 你 有 能 力 找 出 所 有 路 职能 的 依赖 关系 ， 并 
且 可 以 标 出 所 有 要 做 任务 的 时 间 表 和 资源 可 用 性 。 在 一 些 组 织 中 ， 防 火 墙 管理 
者 (firewall person) 和 网 络 管理 员 (network manager) 是 相同 的 ， 那 么 与 这 两 个 
角色 相关 的 功能 也 就 必须 考虑 到 这 个 因素 。 但 是 ， 在 大 公司 中 ， 可 能 会 由 不 同 
团队 来 负责 不 同 功 能 ， 所 以 很 可 能 很 多 工作 都 是 并 行 执行 的 ， 因 此 需要 各 个 团 
队 间 更 多 的 合作 来 管理 各 种 依赖 性 ， 并 处 理 各 种 意外 事故 。 

整合 所 有 组 成 计划 也 能 够 明确 部 署 测试 的 用 例 。 即 使 没有 明确 要 求 ， 也 建 
议 最 好 在 生产 部 署 之 前 进行 测试 。 测 试 计 划 应 该 根据 部 署 IPv6 带 来 的 基础 设 
施 、 地 址 计划 、 网 络 管理 和 安全 策略 的 必要 变化 ， 记 录 与 网 络 需求 变动 相关 
的 测试 的 验证 过 程 。 测 试 阶 段 可 以 了 解 计划 的 基础 设施 中 的 IPv6 行为 特征 ， 
并 帮助 提升 计划 的 安全 和 网 络 管理 。 测 试 中 使 用 的 要 素 将 包括 网 络 的 一 个 子 
集 ， 但 这 应 该 是 一 个 能 代表 你 部 署 计 划 范 围 的 合理 复 本 。 测 试 应 该 要 同时 包含 
两 个 协议 的 寻 址 (addressing) 、 路 由 (routing) 、 数 据 流 (data flow) 、 中 断 模 拟 
(outage simulations) 和 检测 ( detection) ， 包 含 模拟 的 安全 攻击 (simulated security 
attack) 、 故 障 排除 能 力 (troubleshooting capability) ， 还 应 包含 总 体 网 络 监 控 和 
报告 。 

图 8-1 给 出 了 整体 联合 计划 过 程 ， 包 括 IP 地 址 管理 计划 、 安 全 管理 计划 和 
网 络 管理 计划 等 网 络 的 主要 计划 功能 。 这 些 主要 功能 在 图 中 以 并 行 形 式 说 明 ， 
汇聚 输出 到 “确定 项 目 基线 和 IP 计划 与 预算 (baseline project and IP plan and 
budget) ”过 程 中 。 整 个 计划 的 定购 任务 、 识 别 依赖 关系 和 购物 清单 条 目 在 这 里 
汇聚 。 一 个 整体 的 预算 修改 也 会 基于 购物 清单 及 不 同 资源 的 需求 时 间 来 准备 。 
委任 一 个 项 目的 经 理 来 负责 定期 的 项 目 状态 会 议 、 进 度 检查 、 启 用 意外 事件 计 
划 和 减少 组 织 之 间 的 问题 。 召 集 代 表 每 一 个 功能 范围 的 项 目 成 员 参 加 状态 会 议 ， 
提供 自 上 次 会 议 以 来 的 活动 情况 、 新 的 问题 或 花费 ， 以 及 其 他 成 员 任何 信息 或 
资源 需求 的 报告 。 
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8.2 项 目 管理 


目标 是 根据 所 需 的 人 力 和 总 体 预算 等 资源 可 用 性 ,来 确定 整个 项 目 计划 的 
基线 。 一 旦 基线 确定 ， 项 目 计划 就 会 作为 备案 计划 ， 而 计划 小 组 将 会 使 用 这 个 
文档 来 监控 项 目 状 态 。 项 目 计划 帮助 确定 未 来 的 应 交付 产品 及 其 附属 物 。 而 在 
项 目 小 组 会 议 上 的 讨论 应 该 关注 于 在 会 议 之 前 可 以 交付 的 东西 和 这 次 会 议 到 下 
次 会 议 之 间 交 付 的 东西 ， 以 及 任何 可 能 影响 可 交付 日 期 的 问题 。 

项 目 领导 必须 要 有 各 种 不 同 的 能 力 ， 包 括 组 织 能 力 、 领 导 能 力 、 创 新 能 
良好 的 判断 力 和 灵活 性 。 项 目 领导 对 整个 项 目 负责 ， 特 别 需要 为 以 下 事物 负责 : 

e 部 署 项 目的 所 有 计划 方面 ， 包 括 记 录 和 更 新 项 目 计划 、 公 布 项 目 团队 和 临 
时 遇 到 的 问题 ， 以 及 定期 和 根据 需求 交流 状态 信息 。 

e 管理 项 目 ， 使 其 取得 进展 ， 同 时 识别 出 问题 ， 清 楚 地 表达 问题 并 且 能 够 控 
制 并 解决 问题 。 

e 监控 项 目的 任务 完成 状态 、 资 源 的 使 用 与 预算 、 问 题 状 态 和 应 急 方 案 。 

e 保持 项 目 团队 成 员 之 间 的 合作 ， 确 保 呈 现状 态 、 提 供 信 息 、 支 持 讨论 各 个 
功能 都 可 以 实现 ， 保 证 问题 的 解决 。 

© 使 用 组 织 文 化 来 刺激 项 目 组 ， 让 其 人 员 勤 奋 地 完成 相应 的 任务 而 不 会 拖 别 
的 组 员 的 后 腿 。 

o 使 用 团队 资源 来 讨论 问题 、 找 出 原因 、 最 可 能 的 解决 方案 及 其 产生 环境 。 
讨论 突 发 事件 及 对 进度 和 成 本 的 影响 ， 并 且 得 出 解决 方案 。 

e 无 论 是 在 平时 还 是 项 目 出 问题 的 时 候 ， 都 要 简洁 地 交流 项 目 状态 。 

每 一 个 小 组 成 员 还 必须 为 自己 的 功能 区 负责 。 这 里 所 说 的 功能 区 应 该 包含 
所 有 可 能 受 影响 的 区 域 ， 包 括 网 络 操作 (network operations), TFE (engineering), 
网 络 测试 (network testing), 、 用 户 /终端 客户 支持 ( customer/end user support) 、 
安全 (security) 和 网 络 管理 (network management) 。 理 想 情 况 下 ， 每 一 个 小 组 
成 员 有 权 在 会 议 上 做 出 决策 以 加 快 问题 的 解决 而 无 需 过 多 可 能 引起 项 目 延 期 的 
后 续 会 议 。 从 这 整 本 书 可 以 看 出 ，IPv6 的 部 署 功能 是 多 功能 交织 并 且 有 极 大 广 
度 的 。 所 以 ， 应 该 要 好 好 挑选 你 项 目 组 的 成 员 。 

一 份 优秀 的 项 目 文档 可 以 简化 部 署 阶段 ， 虽然 文档 中 仍然 可 能 存在 一 些 考 
虑 不 周 之 处 。 基 本 的 部 署 过 程 如 图 8-2 所 示 。 下 面 通 过 三 个 方面 说 明 这 个 过 程 : 
第 一 个 方面 ,包括 当前 供应 商 ， 因 为 要 保证 IPv6 实施 的 顺畅 必须 要 和 它们 合作 ; 
第 二 个 方面 ， 包 括 为 新 的 网 络 、 新 的 IP 管理 、 新 的 安全 或 者 新 的 网 络 管理 组 件 
寻找 的 新 的 供应 商 ; 第 三 个 方面 ,包括 为 布置 和 管理 任务 而 存在 的 内 部 人 员 或 
咨询 人 员 。 
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与 当前 供应 
商 一 起 进行 | | _ 
设备 升级 和 
更 改 


施行 计划 


新 的 (或 者 符 产品 配置 (全 开始 
wee PORR F- a 部 的 或 者 阶 IPv4/IPv6 
应 商 的 选择 段 性 的 ) 管理 过 程 
雇员 增补 | | _ | 
和 /或 训练 


图 8-2 基本 的 部 署 过 程 








如 图 8-2 所 示 的 迭代 过 程 ， 定 期 的 项 目 会 议 为 “工作 计划 (working the 
plan) ”提供 了 一 个 最 初 在 实验 室 里 处 理 和 部 署 系统 以 便 进 行 测试 、 确 认 进 度 和 
问题 、 反 馈 计 划 的 修订 版 本 和 遇 到 突 发 情况 的 机 会 。 当 不 可 避免 的 问题 出 现 的 
时 候 ， 每 一 个 问题 都 被 记录 、 讨 论 并 尽快 完美 地 解决 是 非常 有 必要 的 。 这 些 解 
决 方法 的 影响 可 能 会 涉及 单个 工作 区 到 计划 的 主要 变动 ， 并 且 都 会 对 资源 和 费 
用 预算 有 一 定 影响 。 不 过 不 管 这 个 影响 范围 是 怎样 的 ， 在 解决 方法 中 所 有 的 问题 
都 必须 被 监控 。 而 项 目 计 划 也 必须 更 新 以 反映 任何 资源 变动 (reflect any resource 
changes) 、 系 统 或 基础 设施 替换 (system or infrastructure substitutions) 、 进 度 表 的 
超时 和 提前 (schedule slips and advances) 或 者 预算 变动 (budgetary changes) 。 

















8.3 测试 部 署 


正如 之 前 所 说 的 那样 ，IPv6 的 部 署 一 定 要 先 在 一 个 非 生产 (non- production ) 
环境 或 者 一 个 实验 室 环境 中 被 验证 有 效 ， 以 保证 尽量 少 与 IPv4 生产 网 络 
(production IPv4 network) 冲突 。 如 果 说 项 目 计 划 定 义 了 网 络 设 备 和 网 络 系统 的 
实施 ， 那 么 测试 计划 就 是 这 个 系统 在 开始 部 署 之 前 最 后 的 关口 。 除 了 识别 问题 ， 
测试 阶段 还 能 够 丰富 IPv4- IPv6 在 地 址 分 配 、 配 置 基础 设施 、 安 全 和 管理 系统 上 
的 经 验 ， 而 且 可 以 发 现 两 个 协议 相互 作用 时 候 会 出 现 的 问题 。 除 了 IPv6 待 开 发 
部 分 的 部 署 之 外 ,将 IPv4 和 IPv6 一 起 测试 是 值得 推荐 的 。 

网 络 中 错误 的 情况 和 模拟 的 安全 攻击 都 应 该 包括 在 实验 室 测 试 阶段 ， 以 便 
确认 网 络 设 备 的 响应 ， 以 及 安全 和 管理 系统 所 对 应 的 检测 通告 。 稍 稍 调整 网 络 
或 者 设备 的 参数 设置 并 重新 测试 ， 可 以 帮助 找到 最 好 的 参数 。 另 外 ， 文 档 和 日 
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志 可 以 帮助 建立 侦 测 到 的 “症状 〈symptoms)” 到 网 络 可 能 的 根源 的 知识 库 ， 其 
中 所 说 的 文档 记录 了 模拟 状况 到 安全 和 管理 系统 中 的 通知 和 和 警告 的 映射 。 

因此 测试 阶段 需要 包括 来 自 所 有 计划 阶段 的 输入 ,这 些 阶段 包括 IP 网 络 
(IP network), IP 寻 址 (IP addressing) 、 网 络 管理 (network management) 和 安 
全 (security) 。 而 在 测试 阶段 的 输入 包括 ， 有 IPv6 能 力 的 基础 设备 的 清单 列表 、 
对 IPv4- IPv6 网 络 基础 设备 的 修改 计划 清单 ， 以 及 与 之 相关 的 IPv6 地 址 计划 、 网 
络 管理 和 安全 。 为 IPv6 做 了 更 新 的 安全 策略 文档 也 是 一 个 十 分 重要 的 输入 ， 它 
有 助 于 测试 那些 计划 中 的 基础 设备 的 策略 依附 性 。 

在 测试 阶段 出 现 的 问题 一 定 要 在 项 目 小 组 中 进行 讨论 。 那 些 不 能 在 项 目 范 
围 内 解决 的 问题 ， 可 能 还 需要 供应 商 参 与 讨论 ; 或 者 ,假如 当时 采取 了 一 个 临 
时 解决 方案 ， 那 么 还 需要 部 置 一 些 后 期 工作 。 本 书 建 议 使 用 实验 室 中 完整 的 配 
置 ,来 简化 对 升级 、 正 在 进行 的 故障 排除 及 生产 网 络 的 问题 重 现 (reproduction 
of production network problems) 的 测试 。 























8.4 生产 管理 


测试 完成 以 后 很 可 能 会 产生 一 个 错误 列表 ， 这 个 列表 会 列 出 错误 用 例 、 检 
测 到 的 异常 和 相关 的 网 络 影响 。 项 目 团队 和 高 层 领导 需要 确定 是 否 有 一 些 错 误 
会 阻止 首次 发 布 。 如 果 是 ， 这 个 错误 必须 马上 解决 , 或 者 通过 限定 一 个 可 接受 
的 备 选 方案 来 解决 。 当 这 种 阻碍 被 很 好 地 处 理 以 后 ， 剩 下 的 问题 应 该 是 在 问题 
影响 范围 和 所 做 修改 方面 上 进行 文档 化 ， 以 及 是 否 在 生产 网 络 中 适当 地 监控 
事件 。 

在 初始 部 署 以 后 ， 生 产 网 络 应 该 马上 被 密切 监控 。 实 验 室 测试 帮助 描绘 了 
IPv6 的 流量 特征 ， 但 是 现实 生产 环境 中 往往 会 出 现 一 些 意 想不到 的 情况 。 所 以 
最 好 密切 监控 IPv6 的 流量 和 安全 日 志 。 在 分 阶段 部 署 中 ， 在 初始 部 署 之 后 不 那 
么 需要 实验 室 测 试 ， 除 非 有 一 个 新 的 部 件 被 添加 到 这 个 网 络 中 。 在 实验 室 中 得 
到 一 个 比较 满意 的 运行 等 级 之 后 ， 随 后 就 要 密切 监控 的 部 署 阶段 ， 该 阶段 在 生 
产 环境 计划 范围 内 全 面部 署 IPv6 的 各 个 部 件 。 





























第 9 2 管理 IPv4/IPv6 网 络 


基于 良好 管理 计划 的 IPv6 部 署 ， 为 成 功 的 部 署 和 IPv4/IPv6 网 络 部 署 后 的 持 
续 管理 建立 了 基础 。IPv6 部 署 可 能 完全 与 IPv4 网 络 重 受 或 者 可 能 只 共享 网 络 的 
一 个 相同 部 分 (如 只 是 与 因特网 相连 的 部 分 )， 而 IPv4 仍然 盛行 (就 目前 来 
说 )。 男 外 ， 如 果 部 署 计划 包括 多 个 阶段 ， 则 每 个 阶段 必须 测试 并 且 进 入 生产 ， 
包括 合并 到 网 络 管理 域 中 。 如 本 书 第 7 章 介绍 的 ， 经 过 对 网 络 管理 的 准备 ， 现 
在 是 时 候 从 这 个 配置 、 监 控 、 维 护 和 管理 网 络 的 谨慎 计划 中 获得 回报 。 

鉴于 “网 络 ” 在 IPv6 部 署 之 后 仍然 是 那个 “网 络 ”， 物 理 管理 范围 似乎 变 
化 不 大 ， 在 程序 上 或 许 更 是 如 此 。 从 现在 开始 ， 在 M&P 方面 必须 考虑 IPv6 的 地 
址 计划 ， 以 进行 IPv6 连接 的 跟踪 、 安 全 和 故障 排除 ， 以 及 与 IPv6 相关 的 统计 监 
测 和 分 析 。 本 章 将 讨论 这 些 问 题 。 


























9.1 常见 的 网 络 管理 任务 


回顾 本 书 第 7 章 介绍 的 FCAPS 的 基本 功能 分 类 ， 下 面 将 从 “配置 ”开始 讨 
论 一 些 常 见 的 管理 任务 ， 然 后 再 讨论 其 他 类 别 。 在 描述 这 些 任 务 时 ， 已 经 遵循 
了 所 需 的 步骤 。 你 的 过 程 中 可 能 还 需要 其 他 的 文档 和 审批 步骤 。 





9.2 配置 管理 





配置 管理 是 一 个 基本 的 网 络 管理 功能 ， 并 在 初始 部 署 后 由 技术 或 业务 等 举 
措 驱 动 ， 如 添加 (或 修改 ) 一 个 新 设备 或 新 的 网 络 服务 ， 或 创立 一 个 新 的 分 文 
机 构 。 本 节 将 讨论 一 些 与 管理 IP 地 址 空间 和 设备 配置 相关 的 常见 且 特 别 需要 的 
任务 。 这 些 任务 涉及 日 常 由 业务 驱动 的 活动 ， 影 响 着 网 络 策划 者 对 移动 、 添 加 
和 变更 设备 、 子 网 及 新 的 办 公 地 点 的 考虑 。 该 配置 管理 功能 的 结果 是 ， 每 一 个 
网 络 的 核心 要 素 ， 包 括 路 由 器 、 交 换 机 、 防 火 墙 和 像 DHCP 服务 器 和 DNS 这 样 
的 网 络 服务 ， 都 必须 被 配置 以 便 在 网 络 中 各 司 其 职 。 其 他 特定 设备 的 参数 通常 
需要 被 配置 为 与 之 前 一 样 ， 可 能 会 增加 额外 的 IPv6 配置 信息 。 


9.2.1 网 络 中 与 配置 相关 的 任务 
下 面 来 考虑 这 样 一 个 例子 ， 需 要 规划 一 个 新 的 办 公 地 点 ， 可 以 是 一 个 零售 
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商店 、 分 支 机 构 或 是 需要 IPv4 和 IPv6 支持 新 的 网 站 。 对 网 络 规划 者 来 说 ， 配 置 
管理 涉及 地 址 空间 的 规划 、 对 现 有 和 新 的 基础 设施 〈 静 态 的 ) 的 IPv4 和 IPv6 地 
址 的 分 配 、 其 他 设备 地 址 的 判定 和 分 配 、 安 全 策略 的 实现 ， 以 及 设备 特定 的 网 
络 信息 配置 (其 中 包括 DHCP/DHCPv6 服务 器 和 DNS 配置 ) 。 除 了 分 配 的 IPv4 
和 IPv6 子 网 3 外 ， 如 果 地 址 空间 已 经 根据 每 个 应 用 程序 进行 了 分 割 ， 则 可 能 还 
需要 多 个 子 网 ， 如 本 书 第 5 章 地 址 计划 里 提出 的 VoIP 地 址 和 无 线 地 址 。 

假定 已 提供 新 网 站 地 址 分 配 的 典型 的 模型 或 “模板 ”， 试 确定 其 版 本 (IPv4 
与 IPv6) 、 类 型 (VoIP 与 无 线 等 ) ， 以 及 所 需 子 网 的 大 小 。 需 要 注意 的 是 ， 鉴 
于 /64 的 IPv6 子 网 的 纯 容 量 ， 你 可 能 选择 在 网 站 中 为 所 有 服务 分 配 一 个 IPv6 F 
网 ， 以 此 简化 你 的 子 网 划分 计划 和 简单 地 配置 多 个 DHCPv6 池 。 对 于 每 个 子 网 ， 
找 出 可 用 的 子 网 地 址 ， 进 而 产生 对 给 定 的 位 置 和 应 用 的 地 址 分 配 计划 ,以 及 IP 
地 址 规划 “数据 库 ” 中 的 子 网 分 配 。 这 些 是 根据 这 个 级 别 网 络 层 次 的 配置 策略 
进行 的 。 比 方 说 ， 用 最 合适 的 方法 为 每 种 类 型 分 配 下 一 个 可 用 的 子 网 。 这 就 需 
要 选择 规模 达到 或 超过 每 种 类 型 所 需 大 小 的 最 小 可 用 子 网 。 

除了 识别 和 记录 每 一 个 已 分 配 的 子 网 ， 子 网 分 配 的 过 程 中 ， 需 要 在 适当 的 
路 由 器 接口 配置 每 个 子 网 地 址 和 配置 IPv6 子 网 前 绥 选 项 ， 如 在 路 由 器 通告 中 设 
置 或 清除 “M” 和 “0” 位 以 显示 DHCPv6 的 可 用 性 。 当 使 用 DHCPZDHCPv6 
时 ,在 本 地 路 由 厂 中 可 能 还 需要 对 “helper”( 中 继 代 理 ) 地 址 进行 配置 。 一 些 
子 网 上 单独 的 IP 地 址 需要 分 配给 基础 设备 ， 如 每 个 分 配 的 子 网 路 由 器 和 服务 器 。 
定义 和 更 新 DHCPv6 服务 器 的 配置 也 需要 设置 地 址 池 ， 以 及 相应 的 DHCPv6 选项 
和 (或 ) 客户 端 类 参数 。 这 些 都 是 在 子 网 中 使 用 DHCPv6 的 设备 所 需要 的 。 

现在 和 未 来 ， 在 子 网 分 配 有 地 址 的 设备 可 能 需要 DNS 的 名 称 解 析 人 信息。 至 
少 ， 这 个 信息 适用 于 正 向 域 的 域名 到 IP 地 址 查询 ， 以 及 反 向 域 的 IP 地 址 到 名 称 
查找 。 这 需要 通过 域 更 新 (如 in- addr. arpa 域 和 ip6. arpa IÈ) 和 为 名 称 服务 器 与 
静态 分 配 的 地 址 所 做 的 资源 记录 更 新 ， 以 达到 定义 和 更 新 DNS 配置 的 目的 。 当 
然 ， 这 些 域 必须 存在 或 被 调配 和 配置 在 各 自 的 DNS 上 。 

根据 域 的 拓扑 结构 ， 可 以 利用 现 有 的 区 域 增加 新 的 子 网 到 一 个 位 置 ， 虽然 
这 不 是 必须 的 。 一 个 新 域 可 能 需要 被 定义 或 配置 成 一 个 子 域 或 一 个 在 适当 DNS 
上 的 全 新 的 区 域 。 同 样 的 ， 可 能 也 需要 添加 与 子 网 地 址 一 致 的 反 向 域 ， 除 非 更 
高 层 的 in-addr. arpa 或 ip6. arpa 区 域 拥 有 相应 的 PTR 资源 记录 。 

试 考虑 基于 新 分 配 的 网 络 和 设备 对 你 的 安全 策略 造成 的 影响 。 过 滤 ACL 可 
能 需要 升级 到 能 让 子 网 上 的 设备 穿 过 防火 墙 。DNS 的 ACL 可 能 也 需要 更 新 ， 以 















































”如 果 打 算 使 用 隧道 或 转换 技术 支持 IPv6 ，IPv6 子 网 配置 可 能 不 是 必要 的 ， 尽 管 两 者 可 能 分 别 需 要 
主机 配置 或 转换 网 关 配 置 。 
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适应 新 分 配 的 子 网 上 的 服务 器 或 设备 的 动态 DNS 更 新 。 

子 网 分 配 过 程 说 明了 地 址 分 配 、 指 派 、 安 全 和 路 由 器 策略 ， 以 及 DHCPv6 服 
务 器 和 DNS 配置 任务 之 间 紧 密 的 相互 关系 。 根 据 你 的 业务 流程 ， 子 网 可 以 在 地 
址 指定 和 网 络 元 素 的 配置 之 前 被 分 配 或 保留 。 然 而 ， 以 下 这 一 整套 步骤 通常 需 
要 投入 一 个 子 网 : 

e 识别 在 需要 每 个 子 网 的 网 络 拓扑 范围 内 可 用 的 地 址 空间 。 

e 从 相应 的 地 址 空间 中 为 每 个 子 网 分 配 所 需要 的 大 小 ， 同 时 记录 TP 地 址 计 
划 中 的 分 配 情 况 。 

e 更 新 关于 已 配置 网 络 的 路 由 配置 。 

e 分 配 和 提供 手动 分 配 地 址 给 路 由 器 、 服 务 器 或 其 他 的 子 网 基础 设备 。 

e 根据 需要 设计 和 配置 DHCP/DHCPv6 地 址 池 来 为 子 网 上 的 动态 主机 提供 服 
务 。 这 可 能 需要 选项 、 指 令 和 客户 类 别 的 关联 。 该 客户 类 别 基于 为 地 址 池 的 使 
用 而 定制 的 设备 的 需求 。 

e 定义 服务 子 网 上 的 主机 所 需要 的 新 的 DNS 域 ， 在 新 的 或 已 存在 的 域 中 为 
基础 设施 或 静态 设备 定义 资源 记录 ， 并 配置 合适 的 DNSS 。 

© 考虑 允许 或 限制 每 个 已 分 配子 网 之 间 的 可 达 性 所 需要 的 安全 策略 更 新 。 

e 通过 确认 子 网 的 配置 和 可 达 性 ， 以 及 网 络 合适 度 和 应 用 性 能 ， 此 外 也 通过 
验证 相应 的 DHCP 和 DNS 配置 和 其 他 一 些 核心 网 络 服务 (如 NTP) ,来 完成 分 配 


9.2.2 添加 新 设备 


向 网 络 中 添加 一 个 新 的 设备 ， 涉 及 配置 其 IP 地 址 或 分 配方 法 ， 配 置 设 备 上 
的 安全 设置 ， 并 设置 特定 于 应 用 程序 的 参数 。 分 配 、 取 消 分 配 和 重新 分 配 卫 地 
址 到 单个 主机 往往 是 在 许多 组 织 中 最 常见 的 配置 管理 活动 。 这 通常 类 似 设备 的 
部 署 、 重 新 部 署 或 拆除 ， 包 括 路 由 器 、 服 务 器 、 打 印 机 等 。 就 地 址 分 配 而 言 ，IP 
地 址 清单 数据 库 应 满足 通过 查询 ， 立 刻 确定 可 用 的 IP 地 址 。 虽 然 把 整个 库存 保 
证 作为 一 个 单独 的 任务 来 讨论 ,但 是 只 是 为 了 验证 库存 的 准确 性 而 去 ping 每 个 
被 分 配 的 候选 IP 可 能 有 用 的 。 被 分 配 的 IPv4 和 /或 IPv6 地 址 ， 应 指派 给 网 络 清 
单数 据 库 中 指定 的 设备 。 如 果 正 在 使 用 在 这 个 特定 的 子 网 上 支持 的 IPv6 主机 端 
点 隧道 ， 请 注意 清单 内 相关 的 隧道 地 址 。 

物理 IP 地 址 可 以 通过 SLAAC 或 通过 使 用 DHCPADHCPvY6， 以 手动 (A) 
配置 设备 的 方式 进行 。 在 静态 分 配 的 情况 下 ,分 配 的 地 址 必须 直接 在 设备 上 进 









































O ”在 某 些 网 络 中 ，DHCP 地 址 的 资源 记录 的 预 配置 是 必需 的 ， 以 允许 这 些 地 址 的 用 户 在 没有 执行 动 
态 DNS 更 新 的 情况 下 出 现在 DNS 中 ( 如 方便 VPN 的 连接 ， 该 连接 需要 PTR 记录 的 存在 ) 。 
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行 配 置 ， 因 此 除非 IP 地 址 分 配 者 也 同时 负责 物理 分 配 ， 这 个 过 程 可 能 需要 一 个 
电子 邮件 或 电话 来 把 输入 的 IP 地 址 信息 传达 给 设备 所 有 者 。 如 果 启 用 SLAAC, 
该 设备 将 自动 配置 IPv6 地 址 ; 确定 选择 什么 地 址 将 要 求 本 地 的 “控制 台 ” 能 够 
显示 它 或 轮 询 路 由 器 的 邻 节点 表 。 当 使 用 DHCP 时 ， 如 果 需 要 一 个 确定 的 IPv6 
地 址 ， 一 条 在 适当 的 DHCP 服务 器 配置 文件 中 的 条 目 可 能 对 设备 的 DUID 到 分 配 
的 IP 地址 的 映射 十 分 重要 。 

大 多 数 具 有 IP 地 址 的 设备 需要 相应 的 DNS 资源 记录 使 得 通过 主机 名 实现 可 
达 。 使 用 地 址 分 配 的 DHCP 方法 ，DHCP 服务 器 可 以 被 配置 来 更 新 用 于 IP 地 址 
分 配 的 主 DNS。 此 更 新 将 影响 用 于 域名 到 TP 地 址 (AZAAAA) 查找 的 正 向 域 和 
用 于 反问 (PTR) 查询 反 向 域 。 如 果 手 动 分 配 地 址 ， 需 要 一 个 类 似 的 DNS 更 新 
的 任务 。 用 新 的 主机 信息 更 新 DNS 可 能 需要 编辑 或 更 新 服务 器 上 相应 的 区 域 文 
件 ， 或 通过 发 送 动态 更 新 。 

你 可 能 不 想 要 自动 配置 的 设备 靠 自己 更 新 DNS， 至 少 在 一 个 企业 网 络 中 是 
如 此 ， 虽 然 这 可 能 适合 于 社区 或 特定 的 网 络 。 识 别 一 个 新 的 自动 配置 的 设备 的 
存在 ， 以 手动 更 新 DNS， 具有 一 定 的 挑战 ! 如 果 此 类 设备 需要 在 DNS 中 的 解析 
信息 ， 可 能 需要 使 用 路 由 器 日 志 或 子 网 宕 探 工具 来 确定 IPv6 地 址 。 

根据 所 添加 设备 的 类 型 ， 在 设备 上 配置 的 安全 策略 可 能 包括 定义 ACL， 配 
置 主机 防火 墙 和 (或 ) 初始 化 其 他 预防 性 安全 措施 ， 如 反 恶 意 软件 的 软件 。 如 
果 需 要 ， 风 险 管 理 系统 可 能 需要 进行 初始 化 ， 以 使 设备 的 配置 和 管理 得 以 进行 。 

总 之 ， 增 加 一 个 新 设备 的 任务 包括 以 下 子 任务 : 

o 确定 设备 将 如 何 获 得 IP 地址， 通过 手动 配置 、SLAAC 或 DHCP。 

e 如 果 是 DHCP， 如 有 地 址 池 ， 确 定子 网 上 当前 的 地 址 池 是 否 有 支持 设备 的 
fie; 如 没有 地 址 池 ， 在 DHCP 服务 器 上 配置 对 应 DHCP 类 型 的 地 址 池 及 必要 
的 选项 参数 。 

e 如 果 是 手动 DHCP ( 即 该 设备 通过 DHCP 分 配 到 一 个 “静态 ”的 地 址 ) ， 
在 设备 所 在 的 子 网 内 找 出 一 个 空闲 的 IP 地 址 ， 并 通过 配置 DHCP 服务 器 将 该 地 
址 分 配给 设备 ， 从 而 为 设备 的 DUID 设置 保留 或 分 配 手动 的 DHCP 地 址 。 

e 如 果 是 在 设备 上 手动 配置 ， 在 设备 所 在 的 子 网 中 找 出 一 个 空闲 的 IP 地 址 ， 
并 将 该 地 址 分 配给 设备 。 将 所 分 配 的 静态 IP 地 址 手动 配置 在 设备 上 。 如 果 可 能 
的 话 ， 选 择 一 个 非 单调 增加 的 〈 即 随机 的 ) 接口 ID, 

e 在 所 有 情况 下 ， 用 已 分 配 的 地 址 来 更 新 IP 地 址 计划 ， 无 论 是 使 用 电子 表 
格 或 使 用 其 他 IPAM 工具 。 

。 确定 是 否 需 要 手动 创建 和 更 新 DNS 资源 记录 。 对 静态 分 配 地 址 来 说 ， 通 
常 是 如 此 。 对 于 DHCP 分 配 的 设备 ，DHCP 服务 器 可 以 被 配置 来 执行 动态 更 新 。 
虽然 在 动态 更 新 对 于 政策 不 可 行 或 不 被 政策 允许 的 情况 下 ， 可 能 需要 相应 资源 
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记录 的 手动 更 新 。 

。 配置 设备 的 安全 软件 和 策略 。 

e 如 有 必要 ， 配 置 设备 管理 参数 。 

o 通过 ping 成 功 和 验证 其 DNS 中 的 资源 记录 ,来 验证 地 址 分 配 过 程 是 否 完 
成 。 通 过 地 址 池 分 配 的 地 址 的 设备 ， 可 能 不 需要 验证 。 然 而 ， 如 果 需 要 ， 则 该 
地 址 可 能 不 是 事先 已 知 的 。 在 这 种 情况 下 ， 定 位 设备 的 MAC 地 址 或 DHCP 租约 
文件 中 的 DUID ， 然 后 由 相应 地 址 的 ping 证 实 其 是 否 被 成 功 分 配 。 


9.2.3 删除 任务 


地 址 分 配 是 一 个 自 上 而 下 的 过 程 ， 从 你 的 基础 部 署 分 层 块 的 分 配 ， 然 后 子 
网 可 被 分 配 ，IP 地 址 可 被 分 配 。 删 除 设备 或 地 址 空间 需要 进行 逆 操作 ， 且 必须 
是 自 底 向 上 的 。 在 底层 的 块 、 子 网 和 设备 删除 之 前 ， 删 除 一 个 地 址 块 将 使 这 些 
底层 元 素 陷 于 困境 。 
9.2.3.1 删除 设备 

从 网 络 中 删除 设备 的 操作 相对 简单 : 根据 需要 ， 在 网 络 库 在 和 相应 的 安全 
和 管理 系统 中 将 设备 表示 为 被 删除 或 待 删除 对 象 。 这 包括 从 DHCP 服务 器 上 移 
除 任何 M-DHCP 条 目 (如 果 合 适 的 话 ) ， 释 放 和 租赁， 并 删除 相关 的 DNS 资源 记 
录 。 但 是 ， 在 把 地 址 分 配给 另 一 台 设 备 之 前 ， 必 须 小 心 确保 该 地 址 已 被 设备 放 
AH. DHCP 和 DNS 更 新 已 完成 。 例 如 ， 仅 删除 一 个 DHCP 服务 器 上 的 租赁 并 不 
会 迫使 持 有 该 租赁 的 客户 放弃 它 。DHCP 配置 消息 旨 在 迫使 DHCP 客户 进入 更 新 
状态 ， 使 一 台 服 务 器 可 能 确认 响应 客户 更 新 租约 的 请 求 ， 从 而 释放 地 址 。 然 而 ， 
这 还 没有 被 广泛 实现 。 

将 地 址 表示 为 “ 待 删除 ”或 类 似 的 状态 ,会 提醒 其 他 管理 员 不 要 将 该 地 址 
分 配给 另 一 个 设备 ， 直 到 收 到 对 其 可 用 性 的 确认 。 这 个 确认 过 程 需要 ping HHE, 
也 许 先 后 超过 数 天 ， 并 确认 在 DNS 和 DHCP 服务 器 中 与 其 相关 联 的 数据 被 删除 。 

如 果 被 删除 的 设备 本 身 是 网 络 元 件 ， 则 需要 关注 被 删除 IP 地 址 的 ACL 或 相 
关 的 信息 。 例 如 ， 如 果 删 除 一 台 DNS， 其 地 址 应 从 相应 的 “允许 更 新 的 ”或 有 
关 的 DNS ACL 中 删除 。 
9.2.3.2 删除 子 网 

在 关闭 一 个 网 站 或 合并 地 址 空间 时 ， 可 能 需要 删除 一 个 子 网 。 在 被 删除 的 
子 网 中 带 IP 地 址 的 设备 应 该 被 移 除 或 退役 ， 这 样 的 子 网 才 是 没有 地 址 分 配 (或 
许 不 同 于 其 他 子 网 服务 的 路 由 器 ) 。 在 所 有 IP 地 址 已 确认 为 空闲 的 之 后 ， 子 网 
可 能 被 回收 到 空闲 地 址 空间 用 于 未 来 的 分 配 。 

在 释放 一 个 子 网 时 ， 可 能 会 将 释放 的 空间 合并 到 一 个 连续 的 地 址 块 中 ， 从 
而 得 到 一 个 更 大 的 空闲 块 用 于 未 来 的 分 配 。 与 防火 墙 和 DNS ACL 配置 相关 的 其 
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他 日 常任 务 应 考虑 被 删除 子 网 、 域 、ACL 和 资源 记录 。 
9.2.4 地 址 重 编 或 移动 任务 


移动 或 重 编 地 址 块 、 子 网 或 独立 地 址 基本 上 结合 了 分 配 过 程 和 删除 过 程 。 
如 上 所 述 ， 分 配 过 程 应 以 和 月 上 而 下 的 方式 ， 对 那些 底层 子 网 和 IP 地 址 将 被 移动 
到 的 空间 进行 分 配 。 当 地 址 被 移动 到 分 配 的 目标 空间 后 ， 删 除 过 程 从 下 往 上 地 
释放 了 地 址 空间 。 在 本 质 上 ， 分 配给 被 移动 的 地 址 范围 的 大 小 必须 能 容纳 被 移 
动 地 址 ， 临 时 地 址 空间 应 为 与 设备 组 相关 联 的 地 址 空间 的 两 倍 。 当 地 址 被 移动 ， 
前 者 的 地 址 空间 可 被 释放 ， 返 回 地 址 分 配 到 以 前 的 水 平 。 
9.2.4.1 设备 移动 

从 IP 地 址 分 配 的 角度 来 看 ， 移 动 服 务 器 或 其 他 设备 可 看 作 在 目标 子 网 分 配 
IPv4/IPv6 地 址 和 在 移动 完成 后 删除 当前 子 网 的 IP 地址 两 者 的 结合 。 根 据 地 址 分 
配 的 方法 和 移动 的 类 型 ， 可 以 使 用 不 同 的 策略 。 移 动 类 型 包括 设备 物理 移动 到 
不 同 的 子 网 (物理 移动 ) 和 在 同一 或 不 同 的 子 网 里 重新 分 配 的 IP 地 址 (逻辑 移 
动 或 重 编 ) 。 非 移动 耻 设备 的 物理 移动 ， 如 服务 器 ， 通 常会 涉及 关闭 电源 和 重 
新 启动 ， 提 供 了 更 多 的 地 址 分 配 过 程 中 的 时 机 控制 。 

物理 移动 ”物理 移动 意味 着 将 设备 断 电 、 移 动 ， 然 后 在 目标 位 置 通电 。 这 
里 假定 在 其 他 网 络 设 备 移 动 之 前 ， 路 由 器 和 交换 机 已 经 在 目标 位 置 完成 了 安装 
和 配置 。 这 种 方法 有 助 于 最 大 限度 地 减少 停机 时 间 ， 和 否则 将 体验 一 个 完整 的 
“ 拿 起 然后 移动 ”的 方式 。 对 于 DHCP 和 DHCPv6 分 配 的 设备 ， 如 果 整 个 池 被 移 
动 ， 应 在 DHCP 服务 器 上 建立 与 每 种 所 需 IP 地 址 类 型 对 应 的 目标 池 。 确 保 服务 
目标 子 网 的 路 由 器 被 配置 为 中 继 DHCP 报 文 到 与 新 池 配 置 在 一 起 的 DHCP 服务 
器 。 你 还 可 以 为 DHCPv6 配置 中 继 ， 尽 管 知名 多 播 地 址 已 被 定义 回避 这 一 要 求 。 

当 被 移动 设备 在 新 位 置 启 动 ， 它 们 可 能 会 尝试 更 新 最 近 它 们 在 原子 网 上 持 
有 的 租约 。DHCPv6 服务 器 会 对 每 个 客户 的 请 求 消息 发 出 回复 ， 表 明 不 能 更 新 有 
关 租约 。 客 户 端 将 重新 初始 化 并 发 出 一 个 请 求 数 据 报 ， 以 取得 新 的 租约 。 
DHCPv6 服 务 器 从 新 的 目的 池 中 发 放 IPv6 地 址 租约 。 一 旦 所 有 设备 完成 物理 移 
动 ， 服 务 于 原子 网 的 池 可 能 会 退役 。 

手动 DHCP (Manual DHCP, M-DHCP) 设备 就 像 是 一 个 自 举 协议 (bootp) 
设备 ,每 次 与 DHCP 交换 时 都 接收 相同 的 IP 地 址 。 这 需要 在 DHCPv6 服务 器 的 
配置 中 有 一 个 预 配置 的 一 对 一 的 关联 关系 ， 即 设备 的 DUID 与 一 个 固定 的 IPv6 
地 址 对 应 。 一 个 M-DHCP 设备 的 物理 移动 需要 在 服务 于 新 子 网 的 DHCPv6 服务 
器 中 创建 M-DHCP (“主机 ”) 条 目 ， 且 在 之 后 删除 在 原 DHCPv6 服务 器 上 的 条 
目 。 如 果 正 在 使 用 相同 的 DHCPv6 服务 器 ， 则 只 需 编 辑 与 设备 的 DUID 相关 的 IP 
地 址 。 设 备 在 新 子 网 上 电 时 ， 它 应 该 遵循 上 述 类 似 的 过 程 ， 伴 随 着 DHCPv6 过 程 
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的 重新 初始 化 。 

移动 一 个 自动 配置 IPv6 地 址 的 设备 ， 将 导致 设备 开机 后 会 通过 路 由 器 发 现 
和 相应 的 子 网 政策 (包括 DHCPv6 服务 的 可 用 性 ) 来 检测 其 新 的 子 网 。 设 备 如 
果 使 用 SLAAC， 则 自动 配置 其 IPv6 地 址 ， 然 后 通过 重复 地 址 检测 验证 其 唯一 
性 。 如 果 使 用 DHCPv6 ， 伴 随 的 是 正常 的 DHCPv6 过 程 ， 用 以 获取 IPv6 地 址 和 相 
关 参 数 。 在 某 些 情况 下 ( 即 当 路 由 器 通告 中 0 位 被 设置 且 M 未 设置 )， 自 动 配 
置 和 DHCPv6 均 可 使 用 。 

DNS 资源 记录 的 更 新 可 能 由 DHCP 服务 器 在 分 配 地 址 时 进行 。 这 个 过 程 可 
以 更 新 正 向 (A/AAAA) 和 反 向 区 域 记 录 ( 即 PTR)。 如 果 SLAAC 被 支持 且 
DNS 更 新 可 以 信任 ， 终 端 客 户 端 可 能 会 被 配置 为 自动 更 新 DNS。 该 信任 模型 是 
依赖 组 织 的 。 一 些 组 织 放弃 DNS 更 新 ， 因 为 考虑 到 这 种 主机 将 无 法 通过 名 称 访 
问 。 另 一 种 选择 是 使 用 IPAM 系统 或 使 用 动态 主机 的 A/AAAA 记录 和 PTR 记录 
手动 更 新 DNS。 

手动 配置 的 设备 的 物理 移动 ， 需 要 从 IP 清单 库 中 分 配 一 个 地 址 ， 并 当 它 在 
新 子 网 启动 后 手动 配置 新 IP 地 址 。 这 时， 旧 的 地 址 可 以 在 库存 中 释放 出 来 ， 尽 
管 临 时 的 “ 待 删除 ”状态 可 能 对 防止 相应 的 地 址 在 核实 可 用 性 前 被 过 早 地 重新 
分 配 是 有 用 的 。DNS 资源 记录 也 应 该 被 更 新 ; 以 反映 设备 的 新 的 耳 地 址 。 

在 所 有 这 些 情况 下 ， 了 P 库存 应 被 用 来 识别 可 用 的 目标 子 网 或 地 址 池 的 可 用 
地 址 和 释放 原子 网 上 的 地 址 ， 以 及 设备 的 移动 被 确认 后 相应 的 DNS 资源 记录 。 
任何 用 以 追踪 IP 地 址 的 设备 库存 系统 同样 应 该 被 更 新 。 

任何 影响 被 移动 设备 的 ACL 或 基于 地 址 的 过 滤 规 则 ， 也 需要 被 更 新 ;还 有 
任何 与 地 址 相关 的 网 络 管理 系统 的 轮 询 配置 需要 被 更 新 。 同 样 ， 任 何 “ 硬 编 码 ” 
IP 地 址 受 移动 影响 的 配置 文件 或 应 用 程序 也 必须 被 更 新 。 

次 辑 移 动 ” 人 逻辑 移动 更 具 挑 战 性 一 些 ， 因 为 它们 不 一 定 涉及 设备 的 重新 初 
始 化 。 对 于 DHCP 设备 ,包含 所 需 目 的 IP 地 址 的 地 址 池 应 在 (相同 或 不 同 的 ) 
DHCP 服务 器 上 进行 配置 。 当 前 地 址 池 的 租约 时 间 应 在 移动 的 时 间 之 前 结束 。 例 
如 ， 如 果 正 常 的 租约 时 间 为 1 周 ， 它 应 该 被 降低 到 的 设备 移动 的 一 周 内 的 1 天 和 
设备 移动 的 一 天 内 的 2 ~6 小 时 。 一 台 设 备 可 能 刚好 在 你 将 租约 时 间 变 为 天 之 前 
续签 了 一 份 为 期 1 周 的 租约 ， 所 以 该 租约 在 半 周 以 内 不 会 尝试 更 新 (或 基于 你 
的 DHCP T1 时 间 选 项 设置 ) 。 因 此 ， 如 果 你 名 义 上 的 租约 时 间 为 2 周 ， 请 在 计划 
移动 前 的 最 多 2 周 时 ， 缩 短 租约 时 间 。 在 移动 的 当天 ， 如 有 必要 ， 把 租约 时 间 
设置 为 最 短 的 32 时间， 这 样 所 有 设备 将 几乎 在 同一 时 间 移 动 。 如 果 同 时 移动 不 是 





















































”最 短 时 间 可 以 是 几 分 钟 或 几 小 时 ， 这 取决 于 网 络 流量 和 服务 器 性 能 方面 的 考虑 。 租 约 时 间 越 短 ， 
将 发 送 更 多 的 DHCP 报 文 ， 但 也 使 DHCP 客户 端的 移动 时 序 协 调 更 一 致 。 
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关键 的 ， 让 租约 时 间 分 布 在 几 个 小 时 上 ， 则 在 几 个 小 时 内 应 该 能 产生 一 个 完整 
的 移动 。 

在 这 种 情况 下 ， 如 果 可 能 ， 建 议 由 DHCP 服务 器 执行 DNS 更 新 ， 以 便 更 为 
接近 地 通过 地 址 的 变更 映射 出 DNS 信息 的 更 新 。 手 动 干预 一 个 “无 限 租用 的 ” 
IPv6 设备 可 能 是 必要 的 ， 除 非 它 在 拥有 无 限 的 租约 后 仍 符合 租约 更 新 政策 。 另 
一 种 选择 是 ， 如 果 客 户 端 支持 重新 配置 。 则 命令 DHCPv6 服务 器 发 送 重新 配置 信 
号 给 客户 端 ， 指 示 它 重新 开始 DHCPv6 的 过 程 ， 

手动 分 配 地 址 的 设备 的 移动 与 物理 移动 遵循 相同 的 过 程 。 一 组 目的 IP 地 址 
从 IP 库存 中 被 分 配 出 来 ， 且 每 个 新 的 IP 地 址 都 配置 在 设备 上 上。 一旦 经 过 确认 ， 
每 个 旧地 址 可 以 被 分 别 释放 。DNS 资源 记录 也 应 更 新 ， 以 反映 该 设备 的 新 的 IP 
地 址 。 

自动 配置 设备 的 逻辑 移动 ， 可 以 通过 配置 服务 于 相应 子 网 的 路 由 器 来 执行 ， 
以 降低 它 在 相 邻 路 由 器 发 现 过 程 中 宣布 的 优先 和 有 效 的 地 址 生存 期 值 。 当 用 一 
个 “正常 ”的 地 址 引入 新 的 前 级 ， 缩 短 这 些 来 自 待 移动 设备 的 地 址 前 级 的 定时 
器 值 ， 则 生存 期 将 使 自动 配置 的 设备 能 够 自动 执行 此 逻辑 移动 。 当 所 有 装置 被 
移动 且 原 前 缀 的 有 效 生命 期 期 满 时 ， 该 前 缀 可 以 被 删除 。 
9.2.4.2 子 网 移动 

移动 子 网 可 能 涉及 两 种 结果 之 一 : 子 网 和 已 分 配 的 IP 地 址 移动 到 另 一 个 路 
由 器 接口 ;保存 当前 的 地 址 分 配 或 移动 到 另 一 个 路 由 器 或 接口 ， 需 要 新 的 子 网 
地 址 。 在 后 一 种 情况 下 会 包含 子 网 重 编 任 务 ， 因 其 也 导致 了 一 个 新 的 子 网 地 址 ， 
虽然 不 必 将 子 网 移动 到 另 一 个 路 由 器 接口 。 第 一 种 情况 需要 考虑 地 址 空间 在 层 
次 上 汇总 ， 但 大 体 由 路 由 器 配置 的 修改 和 验证 组 成 ， 这 些 配置 符合 地 址 计划 、 
受 影 响 的 安全 和 过 滤 政 策 的 更 新 和 网 络 监控 系统 ， 以 及 对 路 由 表 和 DHCP 中 继 
地 址 的 更 新 (如 有 必要 )。 

由 于 物理 移动 或 更 高 层次 的 重 编 产 生 的 子 网 移动 ,通常 需要 多 一 点 的 工作 
量 。 设 备 被 真实 移动 的 物理 移动 (如 当 一 个 办 公 室 被 移动 ) ， 是 具有 本 质 破 坏 性 
的 。 目 标 子 网 可 能 被 分 配 和 配置 在 目标 路 由 器 的 接口 上 ， 连 同上 述 与 预 留 静 态 
地 址 ， 更 新 DHCPADHCPv6、DNS、 防 火 墙 和 网 络 管理 配置 相关 的 其 他 任务 。 每 
个 被 移动 的 设备 接 入 时 ， 需 要 手动 分 配 新 的 地 址 和 (或 ) 从 地 址 池上 获得 一 个 
上 述 用 于 IP 地 址 移动 的 与 子 网 相关 的 DHCP/DHCPv6 租约 。 自 动 配置 的 设备 将 
检测 到 它们 通过 NDP 正在 连接 的 子 网 的 前 级 ， 并 应 相应 地 为 每 个 前 缀 自动 配置 
一 个 单 播 IPv6 地 址 。 人 逻辑 子 网 移动 或 重 编 同样 遵循 设备 的 逻辑 IP 地 址 移动 的 
过 程 。 

在 所 有 的 设备 已 从 旧 子 网 移动 到 新 子 网 后 ， 原 子 网 地 址 空间 可 能 会 伴随 着 
子 网 删除 过 程 被 释放 出 来 。 
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9.2.5 块 / 子 网 分 割 


分 割地 址 块 需要 从 给 定 的 源 块 中 创建 两 个 或 多 个 更 小 的 块 。 分 割 对 地 址 空 
间 的 释放 可 能 是 必要 的 ， 其 至 可 以 作为 一 种 地 址 空间 子 分 配 的 方法 。 在 前 一 种 
情况 下 ， 一 个 子 网 内 的 地 址 可 能 会 被 合并 到 子 网 前 半 部 分 ， 同 时 释放 后 半 部 分 
子 网 的 分 配 。 这 样 ， 块 分 裂 将 产生 一 个 被 占有 子 网 (前半 部 分 ) 和 一 个 空闲 子 
网 (后 半 部 分 )。 一 些 组 织 拥 有 已 分 配 的 区 域 块 ， 然 后 将 它们 分 割 后 分 配给 在 较 
低地 址 层 的 子 块 和 子 网 。 从 某 种 意义 上 说 ， 这 是 块 分 配 的 一 种 形式 。 

要 认识 到 DNS 反 向 区 域 分 裂 块 时 会 产生 影响 。 如 果 两 个 子 网 的 DNS 行政 机 
构 在 一 组 管理 员 下 保持 统一 ， 原 来 的 正 向 或 反 向 区 域 可 能 不 需要 修改 。 然 而 ， 
如 果 得 到 的 分 割 块 或 子 网 让 它 的 设备 在 DNS 中 由 不 同 的 授权 的 机 构 管 理 ， 则 原 
来 的 反 向 域 将 同样 需要 分 制 。 这 需要 建立 两 个 与 产生 的 分 裂 子 网 相对 应 的 反 向 
区 域 ， 并 通知 被 分 割 的 父 反 向 区 域 的 管理 者 ， 其 负责 将 反 向 区 域 树 妥善 委托 给 
合适 的 用 于 权威 信息 的 DNS 组 。 

分 制 块 不 需要 被 限制 为 仅 在 对 半分 裂 ， 把 一 个 /60 分 成 两 个 /61。 拆 分 可 以 
用 来 从 一 个 /60 中 开拓 出 一 个 /64， 虽 然 一 般 来 说 ， 使 用 的 子 网 分 配 过 程 来 执行 
也 许 会 更 好 。 这 样 的 分 裂 会 产生 所 需 的 /64， 以 及 由 一 个 /64、/63、/62 和 /61 
组 成 的 自由 空间 。 在 这 个 例子 中 ， 要 遵循 最 优 分 配 策略 保留 大 的 块 。 男 外 ， 可 
以 直接 将 一 个 /60 分 裂 成 16 个 /64， 其 中 包含 了 统一 分 配 的 政策 ， 而 不 是 需要 时 
“最 适合 ”的 分 配 策略 。 

总 之 , 分割 块 的 过 程 与 分 配 块 相似 。 被 分 割 的 块 被 依次 划分 ， 直 到 获得 所 
需 的 块 大 小 。 剩 余 的 空闲 块 或 者 被 保留 ， 或 者 也 被 分 割 至 所 需 块 的 大 小 ， 以 呈 
现 统一 的 块 分 割 。DNS 关于 反 向 区 域 树 和 行政 委托 的 含义 必须 加 以 考虑 。 还 有 ， 
请 记 住 每 个 分 割 产生 的 网 络 产生 一 个 额外 的 网 络 地 址 和 广播 地 址 。 


9.2.6 块 / 子 网 连接 


将 两 个 相 邻 的 同样 大 小 的 地 址 块 或 子 网 组 合 连接 成 一 个 单一 的 块 或 子 网 。 
例如 ， 块 2001: DB8: 0: 2: : /64 和 块 2001: DB8: 0: 3: : /64 可 以 连接 形成 块 
2001: DB8: 0: 2: :/63 ， 因 为 两 个 /64 共享 同一 个 63 位 的 前 级 。 请 注意 ， 如 果 试 图 
连接 块 2001: DB8:0: 1: : /64 和 块 2001: DB8: 0: 2::/64， 情况 则 并 非 如 此 ， 因 为 
这 不 是 一 个 有 效 的 连接 。 为 什么 想 要 连接 ? 因为 连接 能 使 较 大 的 块 聚合 ， 可 供 
未 来 分 配 。 稀 玻 分 配 使 得 增加 地 址 空间 容量 ， 而 无 需 增 长 路 由 表 。 在 本 书 第 5 
章 关 于 稀 玻 分 配 的 讨论 中 ， 可 以 看 到 一 个 这 样 的 例子 。 分 配 可 能 请 求 任意 大 小 
的 块 或 子 网 ， 因 此 聚合 块 空间 也 增加 了 在 需要 时 可 用 与 分 配 更 大 的 块 可 能 ， 这 
反 过 来 又 最 大 限度 地 减少 在 路 由 协议 中 需要 公告 的 网 络 数量 。 
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汇总 连接 块 ， 可 能 还 需要 一 个 DNS 反 向 区 域 的 更 新 ， 以 使 基础 设备 资源 记 
录 合并 成 “连接 的 ” 反 向 区 域 反 映 出 生成 的 统一 子 网 和 安全 过 渡 策 略 的 更 新 。 


9.2.7 DHCPv6 服务 器 配置 


DHCPv6 服务 器 配置 是 一 个 关键 的 地 址 管理 任务 ， 胜 于 地 址 池 的 创建 、 移 动 
和 删除 ， 虽 然 额 外 功能 的 范围 受 DHCPv6 服务 器 供应 商 的 能 力 限 制 的 。DHCPv6 
服务 器 配置 参数 中 关键 项 如 下 : 

© DHCPv6 的 前 缀 池 ， 负 责 用 于 分 配给 请 求 前 绥 委 派 的 路 由 器 的 IPv6 块 组 。 

e DHCPv6 地 址 池 ， 负责 地 址 范围 和 相关 DHCPv6 选项 ， 以 及 服务 于 动态 、 
自动 和 手动 的 基于 DUID 的 DHCPv6 客户 端的 服务 器 政策 。 

e 客户 端 类 ， 负 责 参数 的 匹配 值 (如 供应 商 类 标识 符 为 “Avaya4600”) 、 相 
关 的 允许 /拒绝 池 、DHCPv6 选项 和 服务 器 策略 。 

e 分 市 范围 的 高 可 用 性 参数 设置 ( DHCPv6 的 故障 转移 目前 IETF 内 部 正在 
研究 ) 。 

e 服务 器 活动 的 配置 ， 如 动态 DNS 更 新 和 其 他 的 服务 器 指令 与 参数 。 

实际 服务 器 的 配置 语法 和 接口 将 取决 于 服务 器 类 型 。 例 如 ，ISC DHCPv6 服 
务 需 可 以 通过 编辑 dhep. conf 文件 来 配置 ， 而 微软 DHCP 可 以 通过 使 用 Windows 
MMC 接口 进行 更 新 。 这 两 者 和 其 他 DHCP 供应 商 也 提供 命令 行 接口 或 API 来 执 
行 配置 更 新 。 关 于 此 类 和 其 他 产品 ， 请 查阅 你 的 供应 商 的 文档 。 

个 别 静 态 IPv6 地 址 分 配 需要 进行 记录 ， 以 确保 其 唯一 性 。 在 分 配 的 子 网 内 ， 
应 对 DHCPv6 地 址 池 进 行 跟踪 以 提供 一 个 子 网 内 地 址 分 配 的 整体 视图 ， 不 管 是 静 
态 还 是 动态 分 配 的 。 当 在 电子 表格 内 对 独立 DHCPv6 租约 的 跟踪 未 能 容易 地 执行 
时 ， 应 该 至 少 执行 对 电子 表格 或 数据 库 内 的 地 址 池 的 记录 。 随 着 时 间 的 推移 ， 
这 将 有 助 于 确保 唯一 地 址 的 分 配 。 

这 样 的 跟踪 也 是 有 必要 的 ， 以 便于 关联 给 定 主机 的 多 个 地 址 ， 如 双 协 议 栈 。 
这 种 综合 的 地 址 分 配 数据 存储 将 提供 IP 地 址 的 库存 的 已 知 程度 。 图 9-1 给 出 了 
IP 地 址 的 示例 子 网 库存 表 。 

请 注意 图 中 对 IPv4 地 址 为 10. 17. 2.5 的 保留 设备 的 双 栈 地 址 分 配 。IPv6 地 
址 由 子 网 前 级 和 一 个 直观 地 映射 到 相应 的 IPv4 地 址 的 接口 ID 连接 在 一 起 的 接口 
ID 连接 组 成 。 接 口 ID 并 不 是 IPv4 地 址 的 二 进 制 映像 ， 而 是 一 个 “可 视 化 的 ” 
映像 ， 以 便于 IPv4 地 址 能 够 通过 视觉 容易 地 区 分 出 来 。 这 种 地 址 分 配方 法 无 疑 
帮助 了 日 志 或 管理 系统 中 检测 到 的 设备 地 址 映射 到 知名 或 熟悉 的 IPv4 地 址 ， 但 
同时 也 暴露 了 一 个 潜在 的 安全 漏洞 。 该 漏洞 涉及 允许 攻击 者 通过 防御 能 力 可 能 
更 弱 的 IPv6 地 址 锁定 一 个 给 定 的 已 知 IPv4 地 址 的 设备 。 
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欧洲 -西方 -罗马 -VolP 子 网 





10.17.2.0/24 2001 :db8:4af0:8812::/64 















IPv6 地 址 





设备 类 型 





分 配方 法 








硬件 地 址 


















2001:db8:4af0:8812:212:65ff:-fe91: lab 1|roma-ops02 


2001:db8:4af0:8812:ca00:21ff:fe07:39fI|roma-core0 1 网 关 / 路 由 器 Manual C8-00-21-07-39-F1 
2001:db8:4af0:8812:ca00:22fF fefe:a901|roma-core02 网 关 / 路 由 器 Manual C8-00-22-FE-A9-01 
2001:db8:4af0:8812:212:65ff.fe91:27 |roma-ops01 交换 机 Manual 00-12-65-91-00-27 





Manual 





00-12-65-91-1E-B1 





2001:db8:4af0:8812:10:17:2:5 
2001:db8:4af0:8812:10:17:2:6 






Reserved 
Reserved 









2001:db8:4af0:8812:10:17:2:7 
2001 :db8:4af0:8812:476a:1ff:fe00:d98 |romops-print01 





Reserved 


45-6A-01-00-0D-98 























2001 :db8:4af0:8812:476a: Iff:fe20:3df0 |romops-print02 FT ENA M-DHCP 45-6A-01-20-3D-F0 
10.17.2.10 2001:db8:4af0:8812:476a: Iff:fe01:65d1 |romops-print03 TEDA M-DHCP 45-6A-01-01-65-D1 
10.17.2.11 2001:db8:4af0:8812:476a: Iff:fe94:309e |romops-print04 打印 机 M-DHCP 45-6A-01-94-30-9E 
10.17.2.12 2001:db8:4af0:8812:476a: lff:fe89:a20¢ |romops-print05 rT ENA M-DHCP 45-6A-01-89-A2-0C 










2001:db8:4af0:8812:4 76a: Lff:fe0a:a98b |romops-print06 





M-DHCP 





45-6A-01-0A-A9-8B 






















































































2001:db8:4af0:8812:476a: Iff:fe49:1fe _|romops-print07 打印 机 M-DHCP 45-6A-01-49-01-FE 
2001 :db8:4af0:8812:10d::78£3 opsfile41 民 务 器 Manual 
2001:db8:4af0:8812:8021:776:d:lcel opsfile42 民 务 器 Manual 
2001:db8:4af0:8812:1107:cal:50ce:7b__|opsfile43 RA Manual 
2001:db8:4af0:8812:8¢:320:dec 1:90a.a8 | opsfile44 RAE Manual 
2001:db8:4af0:8812::8¢10:d878 opsfile45 有 务 器 Manual 
2001:db8:4af0:8812:4:7dad:910:21a2 |opsfile46 Rae Manual 
10.17,2.21-10.17.2.50 Reserved for net-servers 
10.17.2.51-10.17.2.254 VoIP 电话 D-DHCP 
2001:db8:4af0:8812:ffff:/80 DHCPv6 pool 











图 9-1 


9.2.8 DNS 配置 


IP 地 址 的 示例 子 网 库存 表 











如 DHCP Hki AF, DNS 的 配置 是 一 个 重要 的 网 络 管理 功能 并 与 地 址 分 配 、 


指派 、 移 动 和 删除 紧 紧 地 联系 在 一 起 。 这 些 前 面 所 讨论 的 任务 


LEA 
EA 


Ia] DNS 域 、 


资源 记录 ， 可 能 还 有 服务 器 的 配置 参数 。DNS 配置 参数 的 关键 项 如 下 : 
e 域名 ， 在 DNS 上 添加 、 修 改 或 删除 域 /区 域 。 
e 资源 记录 ， 添 加 、 修 改 或 删除 资源 记录 ， 如 特别 的 AAAA 和 PTR 类 型 。 


e 服务 器 、 视 图 和 区 域 配置 ， 设 置 和 修改 选项 参数 


置 、DNS64 配置 等 。 


EY 
、 忆 7 


Mel 


ACL, AR a Ac 


实际 DNS 的 配置 的 语法 将 取决 于 服务 需 类 型 。ISC BIND JIRA at AT VAG at Si 
辑 服务 器 上 的 named. conf 文件 和 相关 的 区 域 文件 进行 配置 。 支 持 DDNS 的 DNS, 
可 能 也 以 这 种 方式 支持 资源 记录 的 更 新 。 对 nsupdate 或 类 似 的 DDNS 机 制 的 使 











FA, 提供 了 一 种 手段 来 执行 增加 的 更 新 ， 而 不 必 手 动 编辑 区 域 文 本 文件 和 重新 
加 载 各 自 的 区 域 ， 如 对 mde 的 使 用 。DDNS 更 新 只 适用 于 资源 记录 的 添加 、 更 
改 和 删除 ， 因 此 任何 区 域 或 服务 器 配置 参数 的 变更 或 区 域 的 增 


本 文件 的 编辑 ， 重 载 named. conf 文件 和 (或 ) 


7 FZ 
LOS 


响 的 区 域 。 


出 ， 仍 然 需要 文 





考虑 到 IP 地 址 与 反 向 域 、 主 机 名 和 其 他 主机 的 信息 之 间 的 直接 关系 ， 以 及 


y 


DNS 能 通 








过 名 称 导 航 而 不 是 IPv6 地 址 ， 所 以 显然 DNS 是 管理 IPv6 网 络 的 一 个 关 


键 因 素 。DNS 提供 了 主机 名 和 IP 地 址 之 间 的 重要 联系 ， 使 得 IP 应 用 的 使 用 更 为 
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MIP 地 址 管理 的 角度 来 看 ， 显 然 反 向 DNS 域 与 IP 地 址 块 和 子 网 的 分 配 有 
直接 关联 。 这 些 域 直接 来 自 其 对 应 的 IP 地 址 。 

为 了 与 集中 的 IP 地址 库存 的 理念 保持 一 致 ， 应 对 与 每 个 IP 地 址 相关 的 主机 
名 和 资源 记录 进行 跟踪 。 参 考 图 9-1 所 示 的 IP 清单 电子 表格 ， 如 果 意 大 利 罗马 
办 事 处 管理 其 自己 的 DNS 区 域 ， 其 管理 员 需 要 为 rome. ipamworldwide. com (前 
向 域 ) 2.17. 10. in-addr. arpa 和 2. 1.8. 8.0. f. a. 4. 8. b. d. O. 1.0.0. 2. ip6. arpa， 管 
理 区 域 文 件 。 在 这 些 区 域 文件 中 ， 资 源 记 录 条 目 需要 维护 。 例 如 ， 对 于 IPv4 地 
址 为 10. 17. 2. 15 的 主机 opsfile41， 必 须 生 成 以 下 区 域 文件 条 目 : 


e rome. ipamworldwied. com 的 区 域 























opsfile41 IN A 10. 17. 2. 15 
opsfile41 IN AAAA 2001; db8: 4af0; 8812; 10d:: 78f3 


eè 2.17. 10. in- addr. arpa 的 区 域 


15 IN PTR opsfile41. rome. ipamworldwide. com. 


e 2. 1.8.8.0. f. a. 4. 8. b. d. 0. 1.0.0.2. ip6. arpa 的 区 域 


3. f. 8. 7. 0. 0. 0. 0. 0. 0. 0. O IN PTR opsfile41. rome. 





d. 0. 1. 0 ipamworldwide. com. 


需要 确保 把 这 个 库存 信息 正确 抄写 到 DNS 配置 中 。 从 这 个 “数据 库 ”， 可 
以 得 出 对 应 到 每 个 主机 的 A/AAAA 记录 和 PTR 记录 。 可 以 扩大 在 电子 表格 中 的 
列 跟踪 与 给 定 主 机 关联 的 额外 资源 ， 如 CNAME, MX 记录 等 。 在 这 个 例子 中 ， 
正在 为 静态 定义 的 主机 输入 DNS 信息 ， 而 这 个 过 程 应 该 在 子 网 的 每 台 这 样 的 主 
机 上 重复 进行 。 从 DHCP/DHCPv6 地 址 池 获 得 租约 的 主机 或 自动 配置 设备 可 以 
通过 动态 DNS 更 新 其 主机 名 信息 。 


9.2.9 前缀 重 编 


服务 供应 商 在 你 的 网 络 中 提供 了 按 供应 商 分 类 汇总 的 IPv6 地 址 空间 供 使 用 ， 
在 服务 供应 商 发 生变 化 的 情况 下 ，IPv6 前 级 必然 会 发 生变 化 。RFC 4192 ( 即 本 
书 参考 文献 [99 ] ) 描述 了 IPv6 网 络 重新 编号 的 过 程 。 为 了 最 大 限度 地 减少 中 
断 ， 当 即将 被 弃 用 的 旧 前 缀 仍 是 可 操作 的 时 候 ， 就 需要 部 署 新 的 前 级 。 这 就 需 
要 把 新 前 绥 依 次 子 网 化 到 子 网 层 ， 使 单个 设备 能 够 自动 配置 ， 或 能 够 在 移 除 旧 
前 缀 和 保留 连接 之 前 ， 从 新 前 缀 中 手动 分 配 IPv6 地 址 。 这 个 过 程 类 似 最 初 在 
IPv4 网 络 上 部 署 IPv6。 相 关 步 又 包括 相应 地 根据 子 网 信息 配置 路 由 器 接口 、 传 
播 新 前 级 的 路 由 更 新 、 配 置 安全 过 滤器 和 ACL 以 适应 新 的 前 级 ， 以 及 配置 各 自 
的 反 回 区 域 的 DNS。 此 外 ， 在 应 用 程序 、 配 置 文件 、DHCP 选项 的 参数 值 和 其 他 
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任何 地 方 中 的 IPv6 地 址 ， 各 自 都 需要 更 新 ， 以 反映 新 的 前 级 。 一 旦 新 的 前 缀 已 
被 部 署 ， 网 络 有 效 地 利用 (至少) 两 个 前 级 。 在 移动 子 网 和 设备 时 ， 旧 前 级 上 
的 地 址 应 该 随 着 时 间 的 推移 衰减 ， 如 通过 缩短 DHCP 租约 时 间 和 减少 公告 的 路 
由 器 首选 和 有 效 的 寿命 值 。 随 着 设备 转变 到 新 的 前 级 ， 旧 前 绥 的 地 址 变 成 空闲 
了 ， 然 后 释放 子 网 ， 再 到 块 ， 最 终 上 升 到 整个 前 级 本 身 。 





9.3 故障 管理 


故障 管理 不 仅 包括 故障 检测 ， 还 有 告警 通知 、 故 障 隔 离 功 能 ， 故 障 跟踪 和 
解决 问题 的 过 程 。 对 IPv6 网 络 元 素 和 服务 器 针对 故障 与 事件 进行 监测 ， 能 够 以 
一 种 积极 主动 的 手段 最 大 限度 地 减少 服务 中 断 ， 并 作为 当前 IPv4 监测 过 程 的 一 
个 扩展 。 正 如 本 书 第 7 章 中 讨论 的 ，IPw6 的 理想 需求 是 目前 监测 的 扩展 、 支 持 
IPv6 传输 的 故障 管理 工具 、SNMP MIB 、 日 志 信息 和 相关 的 健康 和 状态 数据 ， 而 
不 是 新 系统 的 使 用 。 


9.3.1 故障 监测 


根据 部 署 的 网 络 元 素 和 服务 器 所 支持 的 功能 不 同 ， 故 障 检测 也 可 以 使 用 各 
种 方法 进行 。 这 些 方法 包括 专 有 的 轮 询 或 通知 、 系 统 日 志 扫 描 和 (或 ) 转发 、 
SNMP 轮 询 ， 以 及 基于 SNMP 的 网 络 管理 系统 的 陷阱 检测 。 

除了 监测 由 设备 报告 的 网 络 设备 的 状态 ， 它 还 对 监测 这 些 设备 提供 的 服务 
十 分 有 用 ， 特 别 是 关键 的 DHCP、DNS、NTP 和 其 他 的 一 些 服 务 。 监 测 该 服务 只 
需要 发 送 相应 协议 的 消息 ， 并 在 合理 的 响应 时 间 内 收 到 并 确认 一 个 正确 的 响应 。 
例如 ， 定 期 向 服务 器 发 出 DNS 查询 ， 将 能 检测 DNS 的 服务 是 否 正在 运行 ， 并 且 
能 够 履行 其 解析 DNS 查询 的 职责 。 

监控 网 络 设备 和 通信 和 链 路 是 普遍 网 络 监控 的 一 种 常见 的 做 法 ， 而 且 能 洞察 
影响 客户 访问 核心 网 络 服务 器 的 能 力 的 中 断 。 这 条 附加 的 信息 对 解决 某 个 具体 
问题 或 故障 是 非常 有 用 的 。 故 障 相关 性 是 从 多 个 网 络 元素 或 管理 系统 收 到 的 各 
个 故障 的 分 析 ， 以 帮助 找 出 一 组 故障 的 根本 原因 。 例 如 ， 对 来 自 第 2 层 交 换 机 、 
路 由 器 和 广域网 接 人 设备 的 故障 进行 集中 分 析 可 知 ， 这 三 种 故障 是 相关 的 ， 而 
且 最 可 能 的 根本 原因 是 链 路 中 断 。 

故障 相关 性 是 大 型 网 络 管理 系统 的 一 个 共同 特点 。 无 论 故 障 相 关 是 由 网 络 
管理 系统 自动 执行 或 手动 通过 比较 来 自 多 个 系统 的 信息 ， 这 个 过 程 将 暴露 出 更 
为 广泛 的 故障 分 析 的 数据 集 ， 进 而 为 给 定 的 服务 器 、 链 接 或 网 络 元 素 隔 离 故障 。 
作为 一 个 双 栈 设备 ， 从 一 个 单独 的 设备 的 多 个 IP 地 址 的 轮 询 响应 的 简单 故障 相 
关 性 分 析 ， 可 以 帮助 识别 潜在 的 协议 和 路 由 问题 。 
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9.3.2 故障 排除 和 故障 解析 

IPv6 引入 了 一 个 用 于 故障 排除 的 附加 层 ， 这 是 一 个 双 刃 剑 。 这 为 IPv6 相关 
问题 的 识别 和 解决 增加 了 一 层 复 杂 性 ， 但 同时 也 为 数据 收集 和 诊断 提供 了 一 个 
接 入 到 设备 的 辅助 协议 。 








9.4 计 费 管理 


计 费 管理 的 基本 目的 是 为 了 保持 每 个 人 都 诚实 。 那 些 已 分 配 的 地 址 仍然 在 
使 用 吗 ? 有 没有 哪些 没 被 分 配 的 地 址 正在 使 用 ? 新 的 子 网 在 路 由 器 上 是 否 进行 
配置 了 ? 对 于 这 类 问题 ， 计 费 管理 要 能 够 验证 成 功 的 配置 ， 以 及 对 IP 网 络 和 地 
址 计划 的 整体 遵守 。 计 费 管理 功能 的 技术 包括 卫 地 址 、 路 由 器 子 网 、 交 换 机 端 
口 映 射 、 设 备 接口 信息 、DNS 资源 记录 和 DHCP 租约 文件 的 发 掘 。 

为 了 把 这 些 信 息 与 IP 清单 的 “记录 计划 进行 比较 ”， 分 析 发 现 的 信息 是 必 
要 的 。 这 种 差异 的 报告 和 比较 是 比较 困难 的 工作 ， 但 为 库存 的 准确 性 提供 了 一 
定 程度 的 保证 。 如 果 没 有 这 样 的 功能 ， 恶 意 用 户 可 以 访问 免费 服务 或 以 其 他 方 
式 渗透 网 络 。 此 外 ， 尚 未 实现 的 计划 网 络 的 变化 可 能 会 导致 下 游 过 程 的 延误 和 
内 部 或 外 部 SLA 的 配置 时 间 间 隔 上 的 冲突 。 


9.4.1 库存 保证 


到 目前 为 止 ， 已 经 介绍 的 每 个 常见 的 网 络 管理 任务 都 依赖 准确 的 设备 清单 ， 
以 使 子 网 、 设 备 、IP 地 址 及 相应 的 路 由 与 过 滤 配 置 的 分 配 、 删 除 和 移动 得 以 实 
现 。 准 确 性 ， 对 于 这 些 地 址 管理 任务 是 绝对 必要 的 。 但 准确 的 库存 对 一 般 的 故 
障 排除 也 是 必 不 可 少 的 。 一 个 远程 站 点 是 否 应 该 由 于 网 络 中 断 而 设置 为 不 可 达 ? 
这 可 能 有 必要 为 站 点 上 的 设备 识别 IP 地 址 、 资 产 信息 或 其 他 与 网 络 相关 的 数据 。 
在 可 能 最 需要 这 样 的 信息 或 当 它 不 能 直接 从 网 络 获得 的 时 候 ， 只 有 维护 一 个 准 
确 的 网 络 清单 时 ， 这 样 的 信息 才能 被 访问 。 

本 节 将 审查 你 可 以 采取 的 步 又， 以 确保 你 的 网 络 库存 的 准确 性 。 这 包括 控 
制 谁 可 以 对 特定 的 IP 和 设备 信息 、 实 际 网 络 的 发 现 、 为 库存 核对 实际 情况 及 地 
址 空间 的 最 终 回收 做 出 特定 的 改变 。 
9.4.1.1 变更 控制 和 管理 员 的 责任 

正如 在 审查 这 些 网 络 管理 任务 时 所 看 到 的 ， 网 络 和 IP 地 址 库存 的 变化 往往 
影响 其 他 网 络 元 素 ， 包 括 路 由 器 、 安 全 系统 、DHCP 服务 器 和 DNS。 如 果 不 同 的 
个 人 或 团队 管理 这 些 不 同 的 元 素 ， 最 好 定期 召开 一 个 计划 或 变更 控制 的 会 议 ， 
或 根据 需要 检查 并 安排 即将 到 来 的 寻 址 的 变化 的 计划 表 ， 以 保持 循环 的 变化 带 
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来 的 潜在 的 影响 。 

一 种 帮助 确保 网 络 库存 准确 的 方法 ， 是 限制 那些 在 网 络 拓 扑 结 构 和 IP 寻 址 
方案 方面 是 权威 的 并 有 敏锐 的 见解 的 人 对 库存 的 写 访问 。 使 用 一 个 单独 的 密码 
保护 的 电子 表格 ， 有 且 仅 有 一 个 网 络 管理 者 可 以 修改 ， 这 是 一 个 避免 P 库存 不 
慎 或 错误 的 更 改 的 一 个 方法 。 然 而 ， 即 使 是 中 等 规模 的 组 织 ， 这 种 方法 也 显得 
相当 笨拙 。 假 设 整个 网 络 的 库存 依赖 一 个 单一 的 个 体 ， 该 个 体 必须 夜以继日 地 
工作 ， 而 且 当 他 或 她 离开 组 织 时 ， 恢 复 对 库存 化 的 访问 可 能 是 非常 困难 的 ， 除 
非 提前 培养 继任 者 。 

多 个 同时 支持 管理 员 ， 是 市 场 上 绝 大 多 数 的 网 络 管理 系统 的 一 个 重要 特征 ， 
并 且 大 多 数 允 许 一 定 程 度 的 范围 控制 ， 因 此 特定 管理 员 只 能 在 特定 的 设备 或 部 
分 网 络 上 执行 某 些 特定 的 功能 。 请 确定 你 所 选择 的 系统 支持 管理 员 日 志 是 否 应 
该 需要 调查 在 系统 上 “ 谁 做 了 什么 ”。 

与 有 纪律 的 多 管理 员 受 审视 的 访问 网 络 库 存 同样 重要 的 ， 是 把 责任 制 、 任 
意 修改 委托 给 能 在 库存 范围 外 生成 的 P 地 址 分 配 、DNS 资源 记录 和 设备 配置 。 
例如 ， 手 动 配置 可 能 被 打 错 ， 子 网 可 能 被 配置 在 错误 的 路 由 器 接口 上 ， 还 有 客 
户 端 或 DHCP 对 DNS 的 更 新 都 可 能 导致 网 络 库存 偏离 现实 。 库 存 是 一 个 网 络 和 
地 址 规划 的 模型 ， 并 且 网 络 管理 任务 依赖 规划 的 准确 性 。 因 此 ， 额 外 的 “脉冲 
读数 ” 则 需要 从 网 络 本 身 的 获取 。 定 期 轮 询 和 比较 来 自 带 库存 的 网 络 的 实际 配 
置 ， 是 确保 库存 准确 的 关键 。 
9.4.1.2 网 络 发 现 

有 多 种 方法 可 用 来 收集 实际 的 网 络 数据 ， 从 ping 到 DNS 查找 ， 到 SNMP 轮 
i], PUT ping 能 够 检测 IP 地 址 的 占有 者 ， 并 提供 了 一 个 基本 的 方法 ， 以 确定 与 
IP 库存 相应 的 部 分 进行 比较 哪些 IP 地 址 正 被 使 用 。 虽 然 正 如 本 书 第 6 章 所 讨论 
的 ， 这 本 身 不 是 一 个 现实 的 发 现 方案 。ping6 命令 对 验证 一 个 给 定 目标 的 IPv6 连 
接 和 寻 址 非常 有 用 ， 但 要 注意 ， 有 些 路 由 器 或 防火 墙 可 能 会 丢弃 ping 命令 数据 
报 ,， 或 者 甚至 有 些 设备 可 能 被 配置 为 忽略 ping 命令 操作 。 设 置 远程 ping 命令 的 
代理 来 执行 本 地 执行 ping 命令 可 以 帮助 避免 路 由 器 /防火 墙 穿越 问题 。 

Nmap 能 在 insecure. org/nmap 上 自由 访问 ， 是 一 个 非常 有 用 的 IP 发 现 工具 。 
它 结合 了 几 个 发 现 机 制 ， 以 便 从 连接 到 IP 网 络 的 设备 收集 各 种 信息 ， 包 括 链 路 
本 地 多 播 ping 命令 、 直 接 主 机 ping 命令 、DNS 查找 和 端口 扫描 。 在 遍历 子 网 时 ， 
Nmap 可 以 在 一 个 命令 中 执行 这 些 任务 ， 包 括 发 出 ping 命令 到 每 个 地 址 ， 在 DNS 
中 寻找 一 个 相应 的 PTR 记录 和 试图 连接 到 不 同 的 TCP 和 UDP 端口 来 识别 设备 的 
操作 系统 。ping 命令 的 结果 有 助 于 确定 IP 地 址 的 占用 ，DNS 查找 帮助 证 实 DNS 
的 IP 库存 的 主机 名 到 IP 地 址 的 映射 ， 此 外 端口 扫描 可 以 提供 关于 占用 每 个 人 P 
地 址 的 设备 类 型 的 额外 信息 。 
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SNMP 是 发 现 与 库存 相关 的 网 络 信息 的 另 一 个 手段 。 虽 然 大 多 数 终端 设备 ， 
如 笔记 本 电脑 或 VoIP 电话 本 身 不 启用 SNMP， 但 大 部 分 的 基础 设施 元 素 ， 如 路 
由 器 、 交 换 机 和 服务 器 则 会 启用 。 在 路 由 器 MIB 内 ， 令 人 特别 感 兴趣 的 是 接口 、 
IP 地 址 和 ARP 表 。 如 果 你 的 基础 设备 支持 MIB- 工 ， 则 在 不 同 的 产品 上 ， 这 些 表 
的 解释 应 该 是 一 致 的 。 只 是 要 注意 细微 的 差异 ， 甚 至 是 在 来 自 同一 供应 商 的 不 
同 产品 之 间 的 差异 。 通 过 这 些 表 中 的 信息 ， 能 够 收集 到 与 由 路 由 需 报 告 的 一 样 
的 接口 和 子 网 接口 信息 。 这 提供 了 对 一 般 库 存 的 有 用 的 验证 ， 但 也 可 以 在 分 配 ， 
移动 或 删除 的 子 网 和 设备 的 过 程 中 被 轮 询 。 

轮 询 路 由 器 的 邻居 发 现 表 ， 如 “邻居 ”SNMP 表 ， 可 以 提供 一 个 对 于 给 定 
的 子 网 的 明确 的 MAC 地 址 到 IPv6 地 址 的 映射 。 这 种 方法 提供 了 比 野 蛮 地 执行 
ping 命令 更 有 效 的 手段 来 进行 IPv6 主机 发 现 。 一 旦 使 用 这 些 信息 确定 一 列 网 络 
占有 者 ， 可 以 查询 每 台独 立 的 主机 更 多 的 信息 。 因 此 ， 详 细 的 IPv6 主机 发 现 一 
般 需 要 两 个 步骤 : 确定 子 网 中 的 一 组 主机 ， 然 后 遍历 每 个 主机 以 获得 更 多 的 
细节 。 
9.4.1.3 ”了 P 库存 调整 

网 络 发 现 信息 提供 了 一 个 实际 的 用 以 检查 真实 的 子 网 分 配 、IP 地 址 的 分 配 ， 
以 及 相关 的 资源 记录 的 手段 。 通 过 将 发 现 的 信息 与 卫 库存 数据 库 进 行 比 较 ， 可 
以 确定 和 查 清 存在 的 差异 。 虽 然 这 个 比较 可 能 需要 “目测 ”库存 的 电子 表格 和 
发 现 的 输出 之 间 的 差异 ， 但 有 几 个 原因 可 以 证 明 这 样 的 努力 是 很 有 益 。 例 如 ， 
数据 库 差异 能 被 确定 可 能 是 基于 以 下 几 项 . 

e 不 正确 的 路 由 器 配置 。 不 正确 的 子 网 、 掩 码 、 路 由 需 的 接口 等 。 

e 不 完整 的 路 由 器 配置 。 计 划 的 变更 尚未 实现 。 

e 设备 的 可 达 性 问题 。 如 果 一 个 设备 应 该 在 一 个 给 定 的 JP 地址 ， 且 没有 接 
收 到 响应 。 这 可 能 是 由 于 一 个 设备 停 运 、 一 次 短暂 中 断 (重启 )、 地 址 重新 分 配 
或 网 络 不 可 达 。 

e 不 正确 的 IP 地址 分 配 。 手 动 配置 的 地 址 不 正确 或 设备 从 一 个 意 想 不 到 的 
地 址 池 获 取 DHCP 地 址 。 

e 实际 卫 地 址 分 配 。 在 一 些 分 散 的 情况 下 ， 子 网 上 设备 的 安装 程序 可 能 会 
选择 一 个 IP 地 址 ; 发 现 可 以 相应 地 用 来 更 新 IP 库存 。 

e 不 完整 的 IP 地 址 分 配 。 分 配 过 程 的 所 有 方面 ， 无 论 是 手动 或 是 DHCP， 
是 不 完整 的 。 这 个 问题 特别 适用 于 手动 分 配 的 地 址 ， 配 置 分 配 的 IP 地 址 和 更 新 
DNS 都 需要 人 员 的 努力 。 

© 流氓 设备 的 存在 。 一 个 未 知 的 或 未 经 授权 的 设备 已 获得 一 个 卫 地址 。 这 
提供 了 一 个 的 有 效 的 后 访问 控制 机 制 ， 以 补充 和 审计 网 络 访问 控制 解决 方案 。 

除了 检测 差异 ,分 析 发 现 信息 也 可 以 确认 分 发 或 配置 任务 的 完成 ， 以 及 删 
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除 任务 的 完成 。 在 移动 块 、 子 网 和 IP 地 址 时 ， 数 据 发 现 是 必 不 可 少 的 。 由 于 移 
动 需要 新 地 址 的 分 配 、 移 动 ， 然 后 是 旧地 址 的 删除 ， 所 以 在 删除 旧 IP 库存 的 地 
址 之 前 必须 有 移动 完成 的 确认 。 移 动 完 成 之 前 ， 这 些 地 址 不 应 该 被 删除 ， 所 以 
它们 不 会 在 不 知情 的 情况 下 ， 在 被 实际 放弃 之 前 被 分 配给 其 他 设备 或 子 网 。 

总 之 ， 网 络 发 现 对 保证 IP 库存 的 准确 性 是 必 不 可 少 的 。 这 也 有 利于 监测 配 
置 或 分 配 进度 和 时 间 段 ， 管 理 包含 多 个 子 任务 的 任务 完成 ， 以 及 检测 不 正确 的 
分 配 和 潜在 的 恶意 设备 。 


9.4.2 地 址 回收 


前 面 所 讨论 的 网 络 发 现 和 调整 的 另 一 个 好 处 ， 是 对 设备 可 达 性 问题 的 检测 。 
如 果 服 务 器 已 在 一 个 给 定 的 IP 地 址 上 设置 并 被 回应 ， 但 现在 不 再 如 此 ， 这 样 的 
事件 应 该 激发 进一步 的 调查 。 如 果 没 有 移动 或 淘汰 设备 的 计划 ， 或 者 没有 达到 
子 网 其 他 设备 上 的 网 络 问题 ， 那 么 该 设备 可 能 正经 历 一 个 中 断 ， 可 能 是 重新 启 
动 ， 或 者 可 能 已 被 移动 或 断 开 连接 ， 又 或 者 可 能 已 经 被 重新 分 配 地 址 。 如 果 服 
务 器 正在 提供 关键 的 服务 或 应 用 ， 你 应 该 通过 网 络 管理 系统 监视 其 状态 ， 该 系 
统 可 以 证 实 停 运 理 论 和 触发 纠正 措施 。 如 果 IP 地 址 在 下 一 次 尝试 被 发 现 ， 也 许 
它 只 是 简单 地 重新 启动 。 如 果 它 在 未 来 N 次 尝试 中 均 不 响应 ， 那 也 许 它 已 经 在 
物理 上 不 复 存 在 了 (或 至 少 是 不 通电 了 ) 。 不 幸 的 是 ， 人 们 并 不 总 是 告知 耳 规 
划 团 队 ， 设 备 已 被 删除 或 转移 其 他 地 方 ， 即 使 在 联系 最 紧密 的 组 织 中 。 一 个 迅 
速 通知 对 方 检 查 设备 状态 的 电话 可 能 确实 有 用 ， 但 要 确认 一 个 检验 设备 的 设备 
所 有 者 通常 是 困难 而 且 耗 时 的 。 

然而 ， 评 佑 设备 可 能 的 命运 的 关键 点 是 ， 它 可 能 需要 进行 多 个 发 现 尝 试 ， 
以 确定 设备 是 否 曾经 存在 而 现在 不 在 ， 或 只 是 遭遇 了 短暂 的 停电 或 断 开 ， 或 是 
被 借 走 了 而 现在 已 经 返还 。 跟 踪 一 系列 发 现 的 尝试 ， 可 能 会 很 困难 。 运 行 日 志 
或 电子 表格 可 以 用 来 记录 不 符 或 “失踪 ”的 PP 地 址 ， 当 它们 不 能 被 检测 到 的 时 
候 。 随 着 时 间 的 推移 查看 该 日 志 ， 可 能 有 助 于 确定 一 个 卫 地 址 是 否 被 记录 为 在 
使 用 但 实际 上 并 不 是 。 

在 检验 这 样 的 日 志 时 ， 如 果 给 定 IP 地 址 直到 一 个 月 前 被 成 功 发 现 ， 当 它 在 
这 么 多 的 尝试 (如 30 次 ) 后 最 终 到 达 ， 那么 它 可 能 会 被 证 实 可 用 于 未 来 的 分 配 
或 可 收回 的 。 回 收 的 概念 需要 确定 一 些 IP 地 址 ， 这 些 IP 地 址 在 IP 库存 中 表示 
为 可 以 使 用 的 ， 但 在 现实 中 没有 使 用 ， 在 最 近 的 历史 记录 中 也 没有 被 使 用 。 分 
析 多 个 发 现 结果 提供 了 更 强大 的 样本 集 ， 回 收 决定 是 以 其 为 基础 的 ,本质 上 是 
把 设备 从 库存 中 删除 和 把 地 址 释放 以 分 配 到 另 一 台 设备 。 回 收 功能 虽然 是 一 个 
强大 的 IPv4 网 络 管理 的 功能 ， 但 它 在 手动 配置 的 IPv6 地 址 之 外 的 价值 有 限 。 

大 多 数 设备 很 可 能 会 使 用 带 隐 私 扩展 的 DHCPv6 或 SLAAC。 除 了 为 从 IP JE 
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存 删除 设备 提供 的 强大 确认 ， 回 收 可 能 也 同样 被 应 用 于 子 网 。 当 移动 或 删除 一 
个 子 网 时 ， 通 常 建议 验证 所 有 IP 地 址 占有 者 是 否 已 被 删除 ， 且 不 再 使 用 子 网 2 
的 IP 地址 。 分 析 来 自 一 个 给 定 的 子 网 上 的 所 有 地 址 的 发 现 结果 ， 可 以 保证 子 网 
能 被 删除 。 但 是 类 似 IP 地 址 回收 ， 多 个 样本 集 提供 对 于 可 回收 处 置 的 更 强大 的 
确认 。 只 要 记 住 ， 你 很 少 会 在 一 个 子 网 上 看 到 零 响应 ， 至 少 当 它 还 配置 在 一 个 
路 由 器 接口 上 时 ， 所 以 你 要 检查 忽略 了 路 由 器 、 交 换 机 或 其 他 的 设备 类 型 的 连 
续 的 发 现 结 











9.5 性 能 管理 


性 能 管理 涉及 监控 网 络 和 重要 网 络 元 素 的 性 能 。 跟 踪 关 键 构 件 的 硬件 的 统 
计数 据 ， 如 CPU 利用 率 、 内 存 、 人 磁盘 和 网 络 接口 的 输入 /输出 (10O)， 是 非常 
有 用 的 。 这 种 监测 实现 了 对 硬件 管理 运行 在 设备 上 的 服务 的 能 力 的 追踪 。 趋 势 
分 析 在 这 方面 及 对 未 来 的 硬件 采购 的 主动 规划 是 有 益 的 ， 使 得 可 以 实现 更 多 的 
服务 器 之 间 的 负载 分 配 。 


9.5.1 服务 监控 


监测 正常 运行 时 间 和 硬件 统计 对 维持 高 质量 的 核心 服务 至 关 重 要 ， 但 你 可 
能 还 需要 监控 这 些 设备 的 协议 功能 。 例 如 ， 监 控 DNS 的 服务 可 以 帮助 保证 足够 
的 DNS 能 力 以 满足 名 称 解析 的 需求 ， 并 帮助 识别 任何 异常 情况 。 从 客户 端的 角 
度 测量 去 验证 应 用 程序 的 功能 ， 需 要 定期 发 布 DNS、NTP 查询 或 DHCP 请 求 报 ， 
并 测量 收 到 一 个 适当 的 响应 9 需要 的 响应 时 间 。 此 应 用 程序 测试 可 能 来 源 于 部 署 
在 不 同 地 点 的 服务 探测 仪 ， 以 产生 这 些 “ 综 合 交易 ”， 并 测量 和 存储 响应 时 间 结 
果 。 分 析 来 自 不 同 探查 的 历史 数据 可 以 提供 敏锐 的 视角 ， 洞 察 到 DNS/ DHCP/ 
NTP 服务 和 网 络 性 能 。 
9.5.2 应 用 性 能 管理 

虽然 服务 通过 如 网 络 地 址 分 配 和 名 称 解析 等 数据 通路 之 外 的 功能 支撑 起 网 
络 ， 带 内 基础 设施 的 监测 对 整个 网 络 的 运行 状况 和 性 能 是 否 能 维持 在 良好 状态 
同样 是 至 关 重 要 的 。 这 不 仅 包括 对 基础 设施 设备 的 健康 状态 和 性 能 状态 的 监控 ， 
如 交换 机 、 路 由 器 和 负载 平衡 器 ， 还 包括 在 你 的 网 络 中 “流动 ”的 应 用 的 健康 
































O 忽略 路 由 器 的 卫 地 址 占用 ， 因 为 它 通常 会 在 子 网 上 识别 自身 。 
O ”故障 管理 部 分 中 提 到 ， 在 没有 响应 的 情况 下 ， 可 能 表明 一 个 服务 中 断 ， 且 当 它 持续 存在 时 ， 应 该 
对 其 进行 调查 。 
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和 性 能 状态 的 监控 。 通 过 跨 网 络 访问 的 应 用 支撑 起 用 户 体验 的 视图 ， 使 得 问题 
的 主动 检测 、 更 为 简单 的 诊断 和 所 报告 问题 的 解决 得 以 实现 。 

添加 IPv6 到 网 络 不 一 定 影响 应 用 的 性 能 。 不 过 ， 在 网 络 中 使 用 隧道 或 转换 
可 能 会 妨碍 用 户 体 验 ， 尤 其 是 在 高 容量 段 。 在 进行 生产 部 署 之 前 ， 先 搁置 测试 
阶段 的 资源 ， 尝 试 先 描绘 计划 的 隧道 、 翻 译 或 其 至 双 协 议 栈 的 潜在 性 能 有 影响。 
这 将 帮助 确定 哪 种 方法 可 能 最 好 地 满足 你 的 网 络 用 户 的 需求 ， 也 有 利于 建立 一 
个 知识 库 ， 用 于 解决 在 可 能 的 解决 路 径 上 出 现 的 潜在 性 能 问题 。 


9.5.3 审计 和 报告 


大 多 数 管理 系统 一 般 提供 一 定 程 度 的 关于 “ 谁 做 了 什么 ”的 审计 和 不 同 层 
次 的 报告 。 这 些 可 能 只 是 很 容易 被 归 类 在 计 费 管理 的 功能 ， 使 管理 员 能 够 跟踪 
和 排查 活动 并 以 报告 格式 表达 状态 信息 。 卫 地 址 使 用 情况 的 审计 ， 即 谁 在 特定 
的 时 间 点 拥有 给 定 PP 地址， 对 于 解决 网 络 问题 或 调查 潜在 的 非法 活动 ， 是 很 有 
价值 的 信息 。 同 样 ， 如 果 你 正 试图 跟踪 一 个 给 定 设备 的 IP 地 址 占用 的 历史 ， 由 
硬件 地 址 进行 报告 也 是 有 利 的 。 

在 没有 网 络 管理 系统 的 情况 下 ， 执 行 这 样 的 审计 可 能 是 很 困难 的 ， 除 非 是 
在 最 小 的 网 络 中 。 处 理 服务 器 和 基础 设施 与 日 俱 增 的 日 志和 和 警报 的 迭代 转 储 是 
很 有 必要 的 。 此 过 程 使 为 了 故障 排除 、 变 更 控制 和 审计 而 进行 的 配置 状态 和 性 
能 的 跟踪 得 以 实现 。 

对 IP 地 址 规划 感 兴 趣 的 通用 报告 包括 以 下 内 容 ， 虽然 你 的 系统 可 能 提供 不 
同 的 或 额外 的 报告 。 

© 网 络 资产 报告 。 网 络 元 件 和 服务 的 逐 项 报告 ， 以 及 配置 的 摘要 信息 。 

o 地 址 分 配 报 告 。 当 前 快照 和 /或 历史 记录 中 由 子 网 或 块 分 配 的 地 址 的 摘要 
言 息 。 

e 地 址 差异 报告 。IP 库存 与 发 现 的 IP 地 址 信息 之 间 差 异 的 重点 。 

© 服务 性 能 报告 。 网 络 服务 协议 消息 按 类 型 的 摘要 和 详细 信息 ， 以 及 (或 
者 ) 客户 端 与 服务 器 的 关键 指标 摘要 。 

e 应 用 性 能 报告 。 应 用 程序 的 响应 时 间 和 负载 的 摘要 和 详细 信息 ， 以 及 应 用 
程序 服务 此 的 关键 指标 摘要 。 

e 审计 报告 。 管 理 员 通过 子 网 、 设 备 、 硬 件 地 址 、 路 由 器 及 服务 器 的 活动 。 



































9.6 安全 管理 


本 书 第 6 章 主要 介绍 了 安全 策略 ， 这 些 策略 应 该 考虑 在 你 的 IPv4/IPv6 网 络 
中 实施 。 一 旦 投入 使 用 ， 防 火 墙 和 其 他 安全 系统 必须 进行 监测 ， 以 检测 出 可 能 
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的 攻击 。 监 测 过 滤 的 数据 报 能 够 识别 使 用 未 提供 服务 的 攻击 或 尝试 ， 如 移动 
IPv6。 回 应 最 终 用 户 对 于 远程 访问 的 投诉 ， 可 能 需要 某 些 政策 的 松动 ， 虽 然 经 过 
这 样 的 变化 ， 但 仍 需要 密切 监测 以 发 现 利用 新 机 会 的 可 能 攻击 者 。 如 果 你 有 定 
期 的 安全 审查 ， 与 IPv6 相关 的 结果 和 分 析 需 要 被 添加 到 议事 日 程 中 。 


9.7 灾难 恢复 /业务 连续 性 


业务 连续 性 实践 努力 在 面 对 重 大 故障 时 维持 组 织 的 运转 。 重 大 故障 或 “ 灾 
难 ”， 意 味 着 故障 的 绝对 规模 超出 了 少量 服务 器 或 网 络 设 备 。 必 须 提 前 记录 自动 
和 手动 步骤 以 重新 配置 或 重新 调配 资源 ， 从 而 维持 网 络 和 应 用 程序 (或 至 少 是 
重要 的 服务 和 应 用 程序 ) 的 运行 。 核 心 网 络 元 素 和 服务 应 当 部 署 在 元 余 配 置 中 ， 
从 而 在 路 由 器 、 服 务 器 、 应 用 程序 或 链 路 中 断 的 情况 下 提供 网 络 连 续 性 。 

网 络 业 务 的 连续 性 ， 可 能 需要 部 署 额外 的 网 络 元 素 、 管 理 系统 和 数据 库 。 
多 个 活动 数据 库 或 主 用 /备用 配置 的 部 署 将 取决 于 你 为 每 个 组 件 所 选择 的 供应 
商 。 供 应 商 要 实现 多 种 方法 来 方便 元 余 ， 如 全 数据 库 复 制 和 转移 、 需 要 某 种 程 
度 的 网 络 分 区 的 多 主 数据 库 ， 以 及 使 用 存储 区 域 网 络 、SQL BK LDAP 复制 能 力 的 
数据 库 复制 技术 的 部 署 。 需 要 执行 灾难 恢复 的 操作 任务 同样 因 每 个 供应 商 的 不 
同 而 有 所 差异 。 


























第 10 2 IPv6 和 因特网 展望 


从 20 世纪 90 年 代 最 早 商 业 化 开始 ， 因 特 网 已 经 取得 了 极 大 的 成 功 。 因 特 网 
协议 被 证 明 是 可 升级 的 、 健 壮 的 、 可 扩展 的 ， 这 也 是 它 的 发 明 者 有 先 见 之 明 的 
体现 。 而 且 它 的 成 功 之 处 还 不 止 于 此 。 正 如 本 书 第 1 章 讨 论 的 那样 ， 在 过 去 的 
十 年 中 ， 这 方面 世界 年 复合 增长 率 (Compound Average Growth Rate, CAGR) 的 
平均 值 是 18% 。 而 且 发 展 中 国家 在 无 线 通 信 基 础 设施 上 的 投资 特别 能 促进 互联 
网 需求 。 

因特网 这 样 的 成 功 带 来 的 结果 是 耗 尽 用 于 因特网 通信 的 IP 地 址 。 如 果 还 想 
因特网 这 样 持续 增长 ， 唯 一 的 办 法 是 采用 IPv6。 还 好 ，IPv6 技术 已 经 存在 十 多 
年 了 ， 并 且 已 经 相对 成 熟 ， 而 且 ， 很 多 不 同 的 供应 商 和 通信 设备 都 支持 这 个 协 
议 了 。 在 有 了 IPv6 的 部 署 以 后 ， 现 在 的 因特网 是 一 个 混合 IPv4- IPv6 的 网 络 ， 而 
且 IPv6 用 户 和 IPv6 流量 将 会 持续 增长 。IPv6 是 唯一 的 可 以 满足 目前 持续 增长 的 
因特网 需求 的 ， 而 那些 希望 和 这 些 持续 增长 的 IPv6 用 户 们 通信 的 组 织 必 须要 部 
署 IPv6。 






















































































10.1 促成 技术 的 因素 











能 为 因特网 接 入 新 用 户 提 供 地 址 能 力 支 持 ， 是 IPv6 的 一 个 重要 优势 。 但 是 
IPv6 还 有 一 些 新 的 特征 ， 而 且 这 些 特 征 可 以 促进 因特网 应 用 的 新 思维 和 因特网 
演化 。 这 中 间 最 重要 的 就 是 SLAAC 和 对 移动 性 支持 的 提高 。 和 IPv6 一 起 ， 以 下 
这 些 技术 的 提升 为 人 和 物 与 因特网 的 联系 提供 了 一 个 好 的 手段 : 

e IPv6， 特 别 是 SLAAC 和 移动 性 。 

© 计算 设备 的 提升 ， 特 别 是 小 型 化 、 多 媒体 能 力 和 计算 能 力 提升 及 费用 上 的 
下 降 。 

e 节约 电 、 符 合 时 势 、 安 全 和 空气 传播 高 效 的 无 线 通 信 协 议 。 

o 可 以 处 理 大 量 的 输入 和 大 量 传 感 需 的 管理 软件 为 自动 化 的 操作 或 人 类 消费 
而 过 滤 和 存储 数据 。 

这 些 技术 的 改进 将 会 不 断 制 造 出 更 小 、 更 节能 的 智能 手机 、 平 板 电 脑 和 别 
的 便携 式 用 户 设备 。 这 些 技术 也 会 帮助 实现 因特网 与 “ 物 ” 的 连通 。 今 天 一 个 
主要 的 研究 课题 是 关于 未 来 “ 物 联网 (Internet of Things, IoT)” 的 探索 。IoT 由 
各 种 设备 和 传感器 组 成 ， 这 些 设备 和 传感器 从 人 人、 地方 和 事物 上 收集 信息 并 进 
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行 聚合 、 处 理 和 报告 。 

在 任何 地 方 、 任 何 时 间 能 和 任何 人 、 任 何 物 通信 的 能 力 ， 给 因特网 用 户 带 
来 的 是 更 好 的 监控 能 力 和 更 有 效 的 资源 利用 ， 以 使 人 们 减少 花费 、 保 护 环境 其 
至 提供 一 个 内 心 的 宁静 。 设 法 利用 这 些 技术 的 组 织 可 以 开发 和 提供 更 智能 的 服 
务 和 产品 。 关 于 智能 服务 和 智能 产品 的 应 用 的 例子 如 下 : 

o 智能 应 用 (smart application) 。 为 更 多 的 智能 资源 管理 和 客户 服务 提供 一 
个 对 于 一 些 没 有 察觉 到 的 大 量 数据 的 中 心 视 觉 。 这 些 系统 包括 : 

o 智能 电网 (smart grid) 。 根 据 需求 自动 调控 电力 、 水 、 天 然 气 等 资源 ， 减 
少 资源 浪费 ， 节 省 消费 者 公用 事业 账单 。 

o 智能 汽车 (smart car) 。 在 汽车 内 进行 诊断 的 和 使 用 的 传感器 ， 可 以 提供 
性 能 报告 ， 发 现 和 恢复 故障 ， 提 供 已 坏 组 件 的 客户 通知 ， 推 荐 服务 检查 ， 以 及 
自动 的 碰撞 探测 和 报告 。 

o 智能 家 居 (smart home ) 。 对 房子 远程 监控 ， 远 程控 制 用 电 设备 ， 以 及 制 
热 、 制 冷 、 光 照 、 娱 乐 和 接 入 设施 。 

o 知 慧 城市 (smart citie)。 使 用 交通 灯 动 态 进行 交通 管理 ， 通 过 留言 板 沟 通 
可 选 路 径 ， 以 及 提高 能 量 利用 率 。 

e 市 政和 工业 的 监控 和 监测 (municipal and industrial surveillance and monito- 
ring) 。 物 理 访问 的 控制 和 监控 、 极 端 条 件 下 的 环境 监控 (如 自然 灾害 、 火 灾 、 
水 灾 ) 、 结 构 监 测 和 交通 监测 。 

o 野外 应 用 (field application) 。 舰 船 的 管理 、 调 度 和 交通 工具 的 远程 信息 
处 理 。 

e 卫生 保健 (healihcare)。 远 程 监视 病人 的 生命 特征 ， 进 行 诊断 和 药物 管 
理 ， 建 立 “ 体 域 网 (body area networks)”， 严 格 监视 医用 库存 环境 ( 如 存储 血 
奖 和 絮 官 的 保存 环境 ) 。 

e 工业 (industrial) 。 工 厂 流水 线 监视 ,诊断 程序 ， 资 源 控制 ， 供 应 链 管 理 ， 
操作 过 程 的 监视 ， 以 及 控制 无 线 网 络 提供 的 可 达 性 。 

。 军事 (military) 。 战 场 专用 网 络 通过 不 同 士兵 的 传 感 需 向 军事 指挥 报告 最 
新 状态 。 

e 消费 者 (consumer)。 位 置 感知 服务 〈 如 用 于 跟踪 小 孩 或 宠物 、 市 场 服 务 
(寻找 最 近 的 商店 ) ) ， 通 过 数字 标识 的 电子 支付 ， 游 戏 服 务 ， 以 及 其 他 消费 者 
服务 。 
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10.2 因特网 的 阴暗 面 





跟 任何 使 能 技术 一 样 ， 随 着 规模 和 实力 的 增长 ， 人 们 的 日 常生 活 越 来 越 依 
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赖 因特网 的 接 入 ， 限 制 网 络 接 入 的 可 能 性 也 随 之 增加 。 例 如 ， 现 在 很 多 组 织 都 
会 限制 一 些 网 络 流量 的 流入 和 流出 。 而 这 个 “审查 制度 ”已 经 被 一 些 政府 、 网 
络 服务 提供 商 和 内 容 提供 商 使 用 ， 并 且 还 将 被 继续 使 用 。 控 制 了 内 容 和 应 用 分 
发 供应 链 的 设备 制造 商 很 可 能 限制 到 一 些 网 站 和 应 用 的 访问 。 宽 带 提供 商 和 网 
络 服务 提供 商 可 能 会 根据 订购 费 ， 使 流量 与 之 符合 ， 这 和 “网 络 中 立 (net neu- 
trality) ”的 平等 对 待 每 个 IP 数据 报 的 原则 相 矛 盾 "”] 。 

随 着 那些 可 以 提供 途径 获取 传感器 、 相 机 和 其 他 形式 信息 收集 设备 的 增长 ， 
那些 被 授权 的 组 织 可 以 加 强 对 这 些 信息 免费 使 用 的 控制 。 由 于 存储 硬件 价格 的 
持续 下 降 ， 很 多 组 织 就 可 以 对 这 些 “ 受 监督 ”的 数据 进行 收集 、 分 析 并 使 用 ， 
可 能 用 在 好 的 地 方 ， 也 可 能 用 在 不 好 的 地 方 。 

在 一 个 乌托邦 式 的 幻想 世界 中 ， 每 个 人 可 以 有 “平等 访问 (equal access)” 
的 权利 来 访问 因特网 上 发 布 的 所 有 数据 。 但 是 当 考 虑 到 如 相片 、 个 人 信息 和 银 
行 卡 数据 等 私人 数据 会 被 任何 人 访问 时 ， 马 上 就 会 明白 ， 对 访问 的 限制 是 必 不 
可 少 的 。 但 是 限制 的 边界 在 不 同 控制 等 级 的 个 人 、 企 业 法 人 人、 服务 提供 商 和 政 
府 上 ， 变 得 模糊 不 清 了 。 有 的 人 愿意 相信 ， 那些 希望 世界 上 所 有 人 都 能 访问 
的 ， 发 布 在 因特网 上 的 信息 ， 可 以 真正 在 世界 范围 内 被 访问 ; 而 那些 希望 限 
制 访问 范围 的 信息 ， 不 会 在 这 个 范围 之 外 被 访问 到 。 可 是 这 两 个 场景 都 不 能 
真正 保证 。 

在 所 有 这 些 场景 中 ， 对 网 络 信息 的 限制 访问 ， 与 因特网 使 用 的 具体 协议 版 
本 没有 关系 ， 也 不 是 新 事物 。 这 种 对 个 人 自由 的 限制 ,在 Pw4 和 IPv6 是 一 
样 的 。 



































10.3 因特网 的 光明 未 来 


不 管 这 些 阴 暗 面 是 否 充斥 网 络 社会 和 其 他 各 方面 ， 人 们 对 未 来 因特网 ， 及 
其 在 通过 促进 全 球 通信 使 世界 变 小 、 自 动 化 、 日 常生 活 的 远程 控制 和 提升 生活 
质量 中 所 扮演 的 角色 ， 持 乐观 态度 。IPv6 明智 的 定位 会 为 支持 这 一 角色 提供 核 
心 技术 。 
10.3.1 更 加 智能 地 生活 

即将 到 来 的 智能 家 居 、 智 能 能 源 和 智能 汽车 让 消费 者 可 以 更 好 地 控制 能 量 、 
水 资源 和 通信 设备 ， 为 消费 者 提供 自动 化 维护 功能 ， 为 汽车 、 家 庭 用 具 和 资源 
消耗 提供 更 好 的 信息 和 诊断 功能 。 这 些 有 效 的 “自我 提醒 (self-reminding)” 4% 
术 可 以 减少 担忧 并 且 降 低 花 费 ， 同 时 减少 对 环境 资源 的 需求 。 
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10.3.2 保持 踪迹 


在 照顾 对 家 庭 、 小 孩 、 宠 物 或 者 年 长 亲属 方面 ， 会 变 得 更 能 负担 得 起 并 且 
实现 上 也 更 简单 。 可 联网 的 监控 摄像 机 提供 视频 监控 和 记录 ， 而 可 穿戴 或 其 他 
携带 传感器 可 以 用 于 定位 追踪 。 后 一 个 应 用 会 很 受 小 孩 父 母 和 宠物 主 的 欢迎 。 


10.3.3 可 扩展 的 医疗 保健 


病人 在 完成 医学 治疗 出 院 之 后 ， 通 过 新 兴 的 远程 病人 诊断 和 医疗 保健 技术 
可 以 对 刚 回 家 病人 的 生命 体征 或 其 他 参数 进行 与 位 置 无 关 的 监视 。 指 标 读数 超 
过 可 接受 的 浆 值 时 会 发 出 通知 来 触发 后 续 行 动 。 这 个 技术 也 可 以 被 用 在 不 那么 
严格 的 日 常 监控 应 用 中 。 


10.3.4 公共 安全 


对 于 公共 安全 应 用 ， 如 警察 、 救 护 车 、 火 警 救援 的 应 用 ， 相 关 信 息 越 快 到 
达 最 近 的 相关 单位 越 好 采取 行动 。 使 用 传感器 信息 、 监 控 摄 像 机 或 其 他 触发 器 ， 
言 息 可 以 被 分 发 到 最 近 的 办 公 室 以 采取 行动 。 这 些 应 用 也 被 用 于 灾难 准备 、 灾 
难 恢复 和 救助 的 行动 中 。 


10.3.5 未 来 的 信用 卡 


随 着 IPv6 技术 促进 世界 上 智能 手机 的 增长 ， 这 些 设 备 的 新 用 途 将 是 智能 手 
机 代替 信用 卡 这 样 的 功能 。 当 前 一 个 严重 的 问题 是 ， 通 过 收集 因特网 信用 卡 交 
易 的 数据 ， 进 行 身份 盗用 和 冒 用 。 如 果 信 用 卡 被 替代 成 一 些 不 那么 容易 复制 的 
技术 产品 将 会 怎么 样 ? 人 们 已 经 见证 了 从 现金 到 借 记 卡 /信用 卡 的 变化 ， 那 么 使 
用 智能 手机 代替 借 记 卡 /信用 卡 就 如 同 使 用 虚拟 信用 卡 一 样 。 

“信用 卡 之 父 ” Jermome Svigals ， 预 测 智能 手机 在 将 来 的 10 年 超过 信用 
卡 成 为 一 个 主要 的 支付 工具 。 在 他 的 书 一 一 《智能 手机 中 的 银行 ( Bank on Your 
Smartphone)》( 即 本 书 参 考 文献 ) [101]) ， 预 测 零售 业 银 行 正 在 向 一 个 新 的 时 
代 演 化 ， 这 个 时 代 的 中 心 是 和 因特网 相连 的 手持 智能 手机 。 虽 然 是 由 其 他 协议 
而 非 IPv6 来 进行 金融 数据 传输 ， 但 是 手机 数量 的 大 量 增加 将 会 是 这 次 演化 的 主 
要 推动 力 ， 而 IPv6 将 协助 推动 智能 手机 在 世界 上 的 广泛 使 用 。 


10.3.6 消费 应 用 


位 置 感知 应 用 (location-aware application) 和 轮廓 感知 信息 ( profile- aware 
information) 可 以 用 在 零售 企业 中 3 它们 可 以 随机 地 发 送 优惠 券 或 者 精心 选择 的 
广告 ， 给 那些 经 过 零售 店面 的 顾客 。 有 的 人 也 许 会 觉得 这 是 骚扰 ， 但 是 ， 假 如 
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你 想 要 喝 一 杯 咖 啡 ， 这 时 候 一 个 使 铁 咖啡 的 打折 广告 出 现 了 ， 并 且 打 折 商 店 就 
在 一 个 街区 之 外 ， 你 一 定 会 觉得 这 件 事 无 法 抗拒 。 

男 外 一 个 潜在 的 应 用 方向 是 保险 业 ， 它 需要 收集 所 有 这 些 房屋 、 汽 车 和 健 
康 传 感 器 的 信息 ， 用 于 评估 用 户 保险 费用 ， 也 用 于 找 出 事故 的 根本 原因 。 








10.4 小 结 


本 章 所 描述 的 应 用 案例 仅 是 在 增长 的 互联 世界 中 使 生活 更 美好 的 应 用 和 机 
会 中 的 皮毛 。 虽 然 每 一 个 好 处 都 会 附带 一 些 注意 点 ， 但 是 因为 科技 持续 向 更 小 、 
更 便宜 、 更 智能 的 方向 发 展 。 更 重要 的 是 ， 通 过 IPv6 网 络 设备 的 发 展 ， 获 取信 
息 的 途径 将 会 扩大 到 一 个 前 所 未 有 的 高 度 ， 而 未 来 也 将 会 需要 有 效 的 管理 应 用 
软件 按 需 进行 分 析 、 报 告 和 告警 。 


附录 IPv6 准备 情况 评估 模板 修订 1 


这 个 模板 给 出 了 对 于 一 个 给 定 组 织 的 IPv6 准备 情况 评估 ， 用 于 收集 和 提供 
需要 获取 IPv6 准备 情况 的 当前 状态 信息 的 中 心 存储 库 。 该 模板 的 电子 版 本 可 从 
http: //www. ipamworldwide. com 下 载 使 用 。 


A.1 IP 地 址 分 配 


本 节 概 述 了 当前 的 IP 地址 规划 。 


功能 区 项 H 
IPv4 地 址 空间 
ARIN 根 块 分 配 
RIPE 根 块 分 配 
APNIC 根 块 分 配 
LACNIC 根 块 分 配 
AfriNIC 根 块 分 配 
RFC 1918 根 块 分 配 
























































也 址 空间 
ARIN 根 块 分 配 
RIPE 根 块 分 配 
APNIC 根 块 分 配 
LACNIC 根 块 分 配 
AfriNIC 根 块 分 配 
ULA 根 块 分 配 
























































A.2 流程 与 人 员 


本 节 概 述 了 对 于 流程 、 实 践 和 人 员 的 评估 标准 。 


功能 域 i IPv6 就 绪 或 认证 ? 包含 IPv6 的 下 一 步 的 计划 
IT 管理 过 程 
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网 络 工程 师 / 分 析 师 1 
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IT 帮助 台 工 作 人 员 1 


























功能 区 


当前 厂商 





当前 
硬件 与 


评估 :选择 一 


项 














项 目 支 
持 [Pv6 
升级 








项 目 
不 支持 
IPv6 


IPv6 的 
具体 
限制 





具有 IPv6 
功能 的 
下 一 步 的 
计划 











DNS 





NTP/SNTP 





Radius/ Oiameter 





FTP 





TFTP 





Rsync 





SMTP/POP/IMAP 





HTTP 

















其 他 








网 络 基础 设施 





路 由 器 





核心 交换 机 





分 布 式 /边缘 交换 机 





负载 均衡 器 





应 用 服务 器 








防火 墙 





SAN/NAS 存储 系统 








无 线 访问 点 


















































X H 


TUGIR He VHS dI 


LLI 


= 评估 ;选择 一 项 Sam 
硬件 与 | O8 | 7% 项 | 功能 的 
=| = He HY 
功能 区 i HAD | 当前 厂商 : 支持 k RE N E pee 
操作 人 持 1Pv6 | 不 支持 | 限制 下 一 步 的 
系统 升级 | 1Po6 计划 
































网 络 基础 设施 
IP 电话 服务 器 
其 他 























目 户 /端点 系统 
台式 机 /笔记 本 /工作 站 
平板 电脑 /PD4 

智能 手机 






































打印 机 
销售 点 设备 
CPE 设备 

其 他 























软件 应 用 程序 
商业 应 用 1 
网 络 管理 应 用 1 
OSS 应 用 1 





























户 / 合 作 伙伴 /链接 
合作 伙伴 系统 1 
合作 伙伴 系统 2 





















































8LT 


He 2 ok Fle dI 





参考 文献 


. Internet World Stats. Internet Usage Statistics. Internet World Stats. [Online] Miniwatts 


Marketing Group, June 30, 2012. [Cited: January 19, 2013.] http://www.internetworld 
stats.com/stats.htm. 

Kim, Y., Kelly, T., Raja, S. Building Broadband: Strategies and Policies for the 
Developing World. s.l.: World Bank, January 2010. 

Netcraft. 2012archives. Netcraft. [Online] http://news.netcraft.com/archives/2012/. 


4. Hubbard, K., Kosters, M., Conrad, D., Karrrenberg, D., Postel, J. Internet Registry IP 


19. 


20. 


Allocation Guidelines. s.l.: IETF, November 1996. RFC 2050. 
International Monetary Fund.World Economic Outlook (WEO). October, 2012. 


. Eastern Europe continues to move up the broadband and IPTV league tables, Press 


release, London, UK: Point Topic Ltd., October, 2012. 

The World Bank. GDP Growth. The World Bank. [Online] [Cited: January 21, 2013.] 
http://data. worldbank.org/indicator/N Y.GDP.MKTP.KD.ZG. 

RIPE NCC. IPv6 Enabled Networks. RIPE NCC. [Online] http://v6asns.ripe.net/v/6? 
s=_ALL;s=_RIR_APNIC;s=_RIR_AfriNIC;s=_RIR_ARIN;s=_RIR_LACNIC; 
s=_RIR_RIPE_NCC. 

Kim, E., Kaspar, D., Vasseur, JP. Design and Application Spaces for IPv6 over Low- 
Power Wireless Personal Area Networks (6LOWPANS). s.l.: IETF, April 2012. RFC 
6568. 

Delgrossi, L., Berger, L., ed., Internet Stream Protocol Version 2 (ST2) Protocol 
Specification - Version ST2+, s.l.: IETF, August, 1995, RFC 1819. 


. Rooney, T. IP Address Management Principles and Practice. Hoboken, NJ: Wiley, 


2011. 


Deering, S., Hinden, R. Internet Protocol, Version 6 (IP v6) Specification. s.l.: IETF, 
December 1998. RFC 2460. 


. Protocol Numbers. JANA. [Online] http://www.iana.org/assignments/protocol-numbers/ 


protocol-numbers.xml. 


Kawamura, S., Kawashima, M. A Recommendation for IPv6 Address Text Represen- 
tation. s.l.: IETF, August 2010. RFC 5952. 


. Hinden, R., Deering, S. IP Version 6 Addressing Architecture. s.l.: IETF, February 


2006. RFC 4291. 

Kohno, M., Nitzan, B., Bush, R., Matsuzaki, Y., Colitti, L., Narten, T. Using 127-Bit 
IPv6 Prefixes on Inter-Router Links. s.l.: IETF, April 2011. RFC 6164. 

Internet Assigned Numbers Authority (IANA). Internet Protocol Version 6 Address 
Space. www.iana.org. [Online] [Cited: October 12, 2012.] http://www.iana.org/ 
assignments/ipv6-address-space/ipv6-address-space. xhtml. 

Hinden, R., Deering, S., Nordmark, E. IPv6 Global Unicast Address Format. s.l.: IETF, 
August 2003. RFC 3587. 

Hinden, R., Haberman, B. Unique Local IPv6 Unicast Addresses. s.l.: IETF, October 
2005. RFC 4193. 

Haberman, B., Thaler, D. Unicast-Prefix-based IPv6 Multicast Addresses. s.l.: IETF, 
August 2002. RFC 3306. 


180 


IPv6 部 署 和 管理 





21. 


22. 


23. 


24. 


25. 


26. 
27. 


28. 
29. 


30. 


3L, 


32. 
33. 


34. 


35. 


36. 


37. 


38. 


39. 


40. 


Al. 


42. 
43. 
44. 


45. 


Park, J.-S., Shin, M.-K., Kim, H.-J. A Method for Generating Link-Scoped IPv6 
Multicast Addresses. s.l.: IETF, April 2006. RFC 4489. 


Conta, A., Deering, S., Gupta, M., Eds. Internet Control Message Protocol (ICMPy6) 
for the Internet Protocol Version 6 (IPv6) Specification. s.l.: IETF, March 2006. RFC 
4443. 


IANA. Internet Control Message Protocol version 6 (ICMPv6) Parameters. IANA. 
[Online] http://www.iana.org/assignments/icmpv6-parameters. 

Deering, S., Fenner, W., Haberman, B. Multicast Listener Discovery (MLD) for IPv6. 
s.l.: IETF, October 1999. RFC 2710. 

Vida, R., Costa, L. Multicast Listener Discovery Version 2 (MLDv2) for IPv6. s.l.: IETF, 
June 2004. RFC 3810. 

Crawford, M. Router Renumbering for IPv6. s.l.: IETF, August 2000. RFC 2894. 
Crawford, M., Haberman, B., Eds. IPv6 Node Information Queries. s.l.: IETF, August 
2006. RFC 4620. 

Rooney, T. Introduction to IP Address Management. IEEE Press/Wiley, 2010. 
Narten, T., Draves, R., Krishnan, S. Privacy Extensions for Stateless Address Auto- 
configuration in IPv6. s.l.: IETF, September 2007. RFC 4941. 

Microsoft. IPv6 Address Autoconfiguration. www.microsoft.com. [Online] [Cited: 
October 19, 2009.] http://msdn.microsoft.com/en-us/library/aa9 1717 1.aspx. 

Johnson, D., Deering, S. Reserved IPv6 Subnet Anycast Addresses. s.l.: IETF, March 
1999. RFC 2526. 

Loughney, J., Ed. IPv6 Node Requirements. s.l.: IETF, April 2006. RFC 4294. 
Chown, T. Use of VLANs for IPv4-IP v6 Coexistence in Enterprise Networks. s.l.: IETF, 
June 2006. RFC 4554. 

Thaler, D., Draves, R., Matsumoto, A., Chown, T. Default Address Selection for 
Internet Protocol Version 6 (IPv6). s.l.: IETF, September 2012. RFC 6724. 

Wing, D., Yourtchenko, A. Happy Eyeballs: Success with Dual-Stack Hosts. s.l.: IETF, 
April 2012. RFC 6555. 

Durand, A., Ihren, J. DNS IPv6 Transport Operational Guidelines. s.l.: IETF, Sep- 
tember 2004. RFC 3901. 

Chown, T., Venaas, S., Strauf, C. Dynamic Host Configuration Protocol (DHCP): IPv4 
and IPv6 Dual-Stack Issues. s.l.: IETF, May 2006. RFC 4477. 

Huston, G. The ISP Column. www.potaroo.net. [Online] May 2012. http://www. 
potaroo.net/ispcol/2012-05/notquite. html. 

Rooney, T. /Pv4-to-IPv6 Transition and Co-Existence Strategies. Santa Clara, CA: BT 
INS, Inc., March 2008. 

Blanchet, M., Parent, F. IPv6 Tunnel Broker with Tunnel Setup Protocol (TSP). s.1.: 
IETF, February 2010. RFC 5572. 

Huitema, C. Teredo: Tunneling IPv6 over UDP through Network Address Translations 
(NATs). s.l.: IETF, February 2006. RFC 4380. 

Thaler, D., Teredo Extensions. s.l.: IETF, January, 2011, RFC 6081. 

Ibid. 

Thaler, D., Krishnan, S., Hoagland, J. Teredo Security Updates. s.l.: IETF, September 
2010. RFC 5991. 


Bound, J., Toutain, L., Richier, J.L. Dual Stack IPv6 Dominant Transition Mechanism 
(DSTM). s.l.: IETF, October 2005. draft-bound-dstm-exp-04.txt. 


参考 文献 181 





46. 


47. 


48. 


49. 


50. 


51. 


52. 


53. 


54. 


39; 


56. 


57. 


58. 


59. 
60. 


6l. 


62. 


63. 


64. 


65. 


66. 
67. 


68. 


Baker, F., Li, X., Bao, C., Yin, K. Framework for IPv4/IPv6 Translation. s.l.: IETF, 
April 2011. RFC 6144. 

Li, X., Bao, C., Baker, F. IP/ICMP Translation Algorithm. s.l.: IETF, April 2011. RFC 
6145. 

Bao, C., Huitema, C., Bagnulo, M., Boucadair, M., Li, X. IPv6 Addressing of IPv4/IPv6 
Translators. s.l.: IETF, October 2010. RFC 6052. 

Huang, B., Deng, H., Savolainen, T. Dual-Stack Hosts Using “Bump-in-the-Host” 
(BIH). s.l.: IETF, February 2012. RFC 6535. 

Tsuchiya, K., Higuchi, H., Atarashi, Y. Dual Stack Hosts using the “Bump-in-the- 
Stack” Technique (BIS). s.l.: IETF, February 2000. RFC 2767. 

Lee, S., Shin, M.-K., Kim, Y.-J., Nordmark, E., Durand, A. Dual Stack Hosts Using 
“Bump-in-the-API” (BIA). s.l.: IETF, October 2002. RFC 3338. 

Bagnulo, M., Matthews, P., van Beijum, I. Stateful NAT64: Network Address and 
Protocol Translation from IPv6 Clients to IPv4 Servers. s.l.: IETF, April 2011. RFC 
6146. 

Tsirtsis, G., Srisuresh, P. Network Address Translation - Protocol Translation 
(NAT-PT). s.l.: IETF, February 2000. RFC 2766. 

Aoun, C. Davies, E. Reasons to Move the Network Address Translator—Protocol 
Translator (NAT-PT) to Historic Status. s.l.: IETF, July 2007. RFC 4966. 

Leech, M., Ganis, M., Lee, Y., Kuris, R., Koblas, D., Jones, L. SOCKS Protocol Version 
5. s.l.: IETF, March 1996. RFC 1928. 

Kitamura, H. A SOCKS-based IPv6/IPv4 Gateway Mechanism. s.l.: IETF, April 2001. 
RFC 3089. 

Hagino, J., Yamamoto, K. An IPv6-to-IPv4 Transport Relay Translator. s.l.: IETF, June 
2001. RFC 3142. 

Vincent, M. Vin’s World. Vin’s World. [Online] http://vinsworldcom.blogspot.com/ 
2011/12/cat-with-10-lives.html. 

Rooney, T. Service Provider IPv6 Deployment Strategies. s.l.: BT INS Inc., 2011. 
Yamagata, I., Shirasaki, Y., Nakagawa, A., Yamaguchi, J., Ashida, H. NAT444. s.l.: 
IETF, January 2011. draft-shirasaki-nat444-03.txt. 

Donley, C., Howard, L., Kuarsingh, V., Chandrasekaran, A., Ganti, V. Assessing the 
Impact of NAT444 on Network Applications. s.l.: IETF, October 2010. draft-donley- 
nat444-impacts-01.txt. 

De Clercq, J., Ooms, D., Prevost, S., Le Faucheur, F. Connecting IPv6 Islands over IPv4 
MPLS Using IPv6 Provider Edge Routers (6PE). s.l.: IETF, February 2007. RFC 4798. 
De Clercq, J., Ooms, D., Carugi, M., Le Faucheur, F. BGP-MPLS IP Virtual Private 
Network (VPN) Extension for IPv6 VPN. s.l.: IETF, September 2006. RFC 4659. 
Despres, R. IPv6 Rapid Deployment on IPv4 Infrastructures (6rd). s.l.: IETF, January 
2010. RFC 5569. 

Townsley, W., Troan, O. IPv6 Rapid Deployment on IPv4 Infrastructures (6rd)— 
Protocol Specification. s.l.: IETF, August 2010. RFC 5969. 

Rooney, T. IP Address Management Principles and Practice. Hoboken: IEEE Press, 2011. 
Wu., J., Cui, Y., Li, X., Xu, M., Metz, C. 4over6 Transit Solution Using IP Encap- 
sulation and MP-BGP Extensions. s.l.: IETF, March 2010. RFC 5747. 

Durand, A., Droms, R., Woodyatt, J., Lee, Y. Dual-Stack Lite Broadband Deployments 
Following IPv4 Exhaustion. s.l.: IETF, August 2011, RFC 6333. 





182 IPv6 部 署 和 管理 

69. Internet Society. Internet Society. [Online] http://www.internetsociety.org/news/inter- 
net-society-number-resource-organization-and-regional-internet-registries-reinforce. 

70. Netformx Discovery. Netformx. [Online] http://www.netformx.com/discovery. 

71. HP DDMI. HP. [Online] http://www8.hp.com/lamerica_nsc_carib/en/software/soft- 
ware-product.html?compURI=tcem:246-936991. 

72. OPNET NetMapper. OPNET. [Online] http://www.opnet.com/solutions/network_ 
management/netmapper.html. 

73. IANA. Number Resources. www.iana.org. [Online] [Cited: October 20, 2009.] http:// 
www.iana.org/numbers/. 

74. AfriNIC. AfriNIC Home Page. www.afrinic.net. [Online] [Cited: October 20, 2009.] 
http://www.afrinic.net/. 

75. APNIC. APNIC Home Page. www.apnic.net. [Online] [Cited: October 20, 2009.] http:// 
www.apnic.net/. 

76. ARIN. ARIN Home Page. www.arin.net. [Online] [Cited: October 20, 2009.] http:// 
www.arin.net/. 

71. LACNIC. LACNIC Home Page. www./acnic.net. [Online] http://www.lacnic.net/. 

78. RIPE NCC. RIPE Network Coordination Centre Home Page. www.ripe.net. [Online] 
[Cited: October 20, 2009.] http://www.ripe.net/. 

79. Huitema, C. The H Ratio for Address Assignment Efficiency. s.l.: IETF, November 1994. 
RFC 1715. 

80. Durand, A., Huitema, C. The Host-Density Ratio for Address Assignment Efficiency: An 
Update on the H Ratio. s.l.: IETF, November 2001. RFC 3194. 

81. Rooney, T. IPv6 Addressing and Management Challenges. Santa Clara, CA: BT INS, 
Inc., March, 2008. 

82. Blanchet, M. A Flexible Method for Managing the Assignment of Bits of an IP v6 
Address Block. s.l.: IETF, April 2003. RFC 3531. 

83. Wasserman, M., Baker, F. /Pv6-to-IP v6 Network Prefix Translation. June,2011.RFC 6296. 

84. Bates, T., Rekhter, Y. Scalable Support for Multi-home Multi-provider Connectivity. 
s.l.: IETF, January 1998. RFC 2260. 

85. Abley, J., Lindqvist, K., Davies, E., Black, B., Gill, V. IPy4 Multihoming Practices and 
Limitations. s.l.: IETF, July 2005. RFC 4116. 

86. Huston, G. Architectural Approaches to Multi-homing for IPv6. s.l.: IETF, September 
2005. RFC 4177. 

87. Nordmark, E., Bagnulo, M. Shim6: Level 3 Multihoming Shim Protocol for IP v6. s.l.: 
IETF, June 2009, RFC 5533. 

88. ISO/IEC. Information Technology—Open Systems Interconnection—Basic Reference 
Model: The Basic Model, second edition. Genera, Switzerland: ISO/IEC, November 
1994. ISO/IEC 7498-1:1994(E). 

89. Internet Protocol Version 6 Address Space. Internet Assigned Numbers Authority. 
[Online] October 29, 2010. [Cited: April 12, 2012.] http://www.iana.org/assignments/ 
ipv6-address-space/ipv6-address-space.xml. 

90. IPv6 Global Unicast Address Assignments. Internet Assigned Numbers Authority. 
[Online] August 27, 2008. [Cited: April 12, 2012.] http://www.iana.org/assignments/ 
ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xml. 

91. Davies, E., Mohacsi, J. Recommendations for Filtering ICMPv6 Messages in Firewalls. 


s.l.: IETF, May 2007. RFC 4890. 


参考 文献 183 





92. 


93. 
94. 


95. 


96. 


97. 


98. 


99. 


100. 


101. 


Krishnan, S., Woodyatt, J., Kline, E., Hoagland, J., Bhatia, M. A Uniform Format for 
IPv6 Extension Headers. s.l.: IETF, April 2012. RFC 6564. 

Chown, T. IPv6 Implications for Network Scanning. s.l.: IETF, March 2008. RFC 5157. 
Levy-Abegnoli, E., Van de Velde, G., Popoviciu, C., Mohacsi, J. IPv6 Router 
Advertisement Guard. February 2011. RFC 6105. 

Davies, E., Krishnan, S., Savola, P. IPv6 Transition/Coexistence Security Consider- 
ations. s.l.: IETF, September 2007. RFC 4942. 

Bhatia, M., Manral, V., Lindem, A. Supporting Authentication Trailer for OSPFv3. 
February 2012. RFC 6506. 

Savola, P., Patel, C. Security Considerations for 6to4. s.l.: IETF, December 2004. RFC 
3964. 

Daniele, M., Haberman, B., Routhier, S., Schoenwaelder, J. Textual Conventions for 
Internet Network Addresses. s.l.: IETF, February 2005. RFC 4001. 

Baker, F., Lear, E., Droms, R. Procedures for Renumbering an IPv6 Network without a 
Flag Day. s.l.: IETF, September 2005. RFC 4192. 

The Economist. The Future of the Internet—A Virtual Counter-Revolution. The 
Economist. [Online] http://www.economist.com/node/16941635. 

Svigals, J. Bank on Your Smartphone. Xlibris, 2012. 


IEEE 出 版 社 系列 之 网 络 管理 图 书 


这 一 系列 图 书 的 目标 是 为 世界 各 地 的 通信 与 信息 技术 专业 协会 、 私 营 机 构 
和 政府 组 织 及 研究 中 心 ， 提 供 网 络 和 服务 管理 方面 的 高 质量 的 技术 参考 书 和 教 
科 书 。 该 系列 图 书 注重 于 故障 、 配 置 、 计 费 、 性 能 和 安全 的 管理 ， 包 括 但 不 限 
于 电信 和 网络 与 服务 、 技 术 和 实现 、IP 网 络 与 服务 及 无 线 网 络 与 服务 领域 。 



































图 书 编辑 
Thomas Plevyak 
Veli Sahin 


1. Telecommunications Network Management into the 21st Century 
Edited by Thomas Plevyak and Salah Aidarous 

2. Telecommunications Network Management: Technologies and 
Implementations 
Edited by Thomas Plevyak and Salah Aidarous 

3. Fundamentals of Telecommunications Network Management 
Lakshmi Raman 

4. Security for Telecommunications Management Network 
Moshe Rozenblit 

5. Integrated Telecommunications Management Solutions 
Graham Chen and Quinzheng Kong 

6. Managing IP Networks: Challenges and Opportunities 
Thomas Plevyak and Salah Aidarous 

7. Next-Generation Telecommunications Networks, Services, and Management 
Edited by Thomas Plevyak and Veli Sahin 

8. Introduction to IT Address Management 
Timothy Rooney 

9. IP Address Management: Principles and Practices 
Timothy Rooney 

10. Telecommunications System Reliability Engineering, Theory, and Practice 
Mark L. Ayers 
11. IPv6 Deployment and Management 

Michael Dooley and Timothy Rooney 


Copyright © 2013 by The Institute of Electrical and Electronics Engineers, Inc. 

All Rights Reserved. This translation published under license. Authorized 
translation from the English language edition, entitled < [Pv6 Deployment and 
Management > , ISBN <978-1-118-38720-7 > , by < Michael Dooley, Timothy 
Rooney > , Published by John Wiley & Sons, Ltd. No part of this book may be 
reproduced in any form without the written permission of the original copyrights 
holder. 

本 书 中 文 简体 字 版 由 Wiley 授权 机 械 工业 出 版 社 出 版 ， 未 经 出 版 者 书 
面 允 许 , 不 得 以 任何 方式 复制 或 发 行 本 书 的 任何 部 分 。 版 权 所 有 ， 翻 印 
必 究 。 

北京 市 版 权 局 著作 权 合 同 登记 图 字 : 01-2013-5561 号 。 

















图 书 在 版 编目 (CIP) 数据 


IPv6 部 署 和 管理 /( 美 ) 杜 里 (Dooley, M. ) ，( 美 ) 鲁尼 
(Rooney, T.) 著 ; 董 守 玲 等 译 . 一 北京 : 机 械 工 业 出 版 
žt, 2015.1 
(国际 信息 工程 先进 技术 译 从 ) 

书 名 原文 : IPv6 deployment and management 
ISBN 978-7-111-48725-8 


LOL I. 四 村 …@ 鲁 …@ 董 … I. 计算 机 网 络 - 
通信 协议 IV. GTN915. 04 


中 国 版 本 图 书馆 CIP 数据 核 字 (2014) 第 282690 号 





























机 械 工 业 出 版 社 (北京 市 百 万 庄 大 街 22 号 ”邮政 编码 100037 ) 
策划 编辑 : 刘 星 宁 ”责任 编辑 : 刘 星 宁 

版 式 设计 : 霍 永 日 责任 校对 : 崔 兴 娜 

责任 印 制 ， 乔 F 
保定 市 中 画 美 凯 印 刷 有 限 公司 印刷 
2015 年 2 月 第 1 版 第 1 次 印刷 

169mm x239mm + 12.5 印张 .227 千 字 
0001— 2500 册 
标准 书号 : ISBN 978-7-111-48725-8 
定价 ， 58.00 元 








ag 


















































凡 购 本 书 ， 如 有 和 缺 页 、 倒 页 、 脱 页 ， 由 本 社 发 行 部 调换 
电话 服务 网 络 服务 
民 务 咨询 热线 : 010-88361066 机 工 官 网 www. cmpbook. com 
读者 购书 热线 : 010-68326294 机 工 官 博 : weibo. com/cmp1952 
010-88379203 金 书 网 : www. golden- book. com 
封面 无 防伪 标 均 为 盗版 教育 服务 网 : www. cmpedu. com 








本 书 特色 


本 书 是 理解 、 部 署 和 管理 下 
一 代 互联 网 协议 IPv6 的 指南 。 本 书 
由 谷歌 副 总 裁 茎 互联 网 主要 创造 者 
Vint CerffE FF, 


因特网 的 发 展 使 得 在 IPv4 (B 
前 用 以 主导 网 络 信息 流通 的 主要 协 
议 ) 上 扩展 IP 地 址 迫在眉睫 。1IP v6 
(意图 最 终 取代 IP v4 的 新 一 代 网 络 
协议 ) 将 扩展 因特网 地 址 数 以 满 
足 用 户 和 各 种 设备 爆炸 性 增长 的 需 
要 ， 以 及 提高 1P 地 址 分 配 的 灵活 性 
和 获得 更 高 的 路 由 效率 。 
本 书 详细 介绍 了 IPv6 协 议 ， 以 
及 IPv4 与 IPv6 互 通 的 技术 。 它 从 商业 
前 景 的 角度 阐明 了 各 种 组 织 团体 应 
o 
组 织 当 前 仍 有 充裕 的 IP v4 地址 ) 。 
HESR. CR RH o 


中 部 署 1Pv6 的 影响 ， AMPERE 
的 IP 资 源 ， 如 何 评估 IP v6 的 准备 情 
况 ， 以 及 基于 寻 址 安全 和 网 络 管理 
的 影响 等 因素 考虑 如 何 制 定 计划 部 
署 1Pv6， 还 有 如 何 对 双 协 议 1Pv4 一 
IPv6 网 络 进行 管理 等 。 

本 书 是 一 本 IP 网 络 工程 师 、 管 
理 者 和 IT 工作 者 必 读 书籍 。 





电话 服务 
服务 咨询 热线 : 010-88361066 
读者 购书 热线 : 010-68326294 
010-88379203 


为 中 华 崛起 传播 知 x% ATEA: www.cmpbook.com 


机 工 官 博 : weibo.com/cmp1952 
地 址 :北京 市 百 万 庄 大 街 22 号 金 书 网 : eee jolden-book.com 


邮政 编码 :100037 | 教育 服务 网 : www.cmpedu.com 
belat ie 


RF OWE T 





WILEY 


国际 信息 工程 先进 技术 译 从 


《1Pv6 部 署 和 管理 》 

《虚拟 网 络 一 一 下 一 代 互 联网 的 多 元 化 方法 》 

《下 一 代 融 合 网 络 理论 与 实践 》 

《 认 知 视角 下 的 无 线 传感器 网 络 》 

《移动 云 计算 : 无 线 、 移 动 及 社交 网 络 中 分 布 式 资源 的 开发 利用 》 
《Android 系 统 安全 与 攻防 》 

《内 容 分 发 网 络 》 

《 计算 机 网 络 仿真 OPNET 实 用 指南 》 

《移动 无 线 信道 》 ( 原 书 第 2 版 ) 

《LTE-Advanced: 面向 IMT-Advanced 的 3GPP 解 决 方案 》 
《声学 成 像 技 术 及 工程 应 用 》 

《 认 知 无 线 电 通信 与 组 网 : 原理 与 应 用 》 
《LTE/SAE 网 络 部 署 实用 指南 》 

《网 络 性 能 分 析 原 理 与 应 用 》 

《 云 连 接 与 嵌入 式 传 感 系统 》 

《IP 地址 管理 原理 与 实践 》 

(Bemis: GSM, UMTSAILTEN BML. = d= 
《实现 吉 比 特 传输 的 60GHz 无 线 通信 技术 》 

《LTE 自 组 织 网络 (SON): 高 效 的 网 络 管理 自动 化 》 
《UMTS 中 的 LTE: 向 LTE-Advanced 演 进 》( 原 书 第 2 版 ) 
《无 线 传感器 及 执行 器 网 络 》 

《UMTS 中 的 WCDMA - HSPA 演 进 及 LTE 》 ( 原 书 第 5 版 ) 
《 认 知 无 线 电 网 络 》 

《网 络 融合 一 一 服务 、 应 用 、 传 输 和 运营 支撑 》 

《UMTS 中 的 LTE: 基 于 OFDMA 和 SC-FDMA 的 无 线 接 入 》 

《高 性 能 微 处 理 器 电路 设计 》 

《 吉 规 模 集成 电路 互 连 工 艺 及 设计 》 

《高 级 电子 封装 》 ( 原 书 第 2 版 ) 

《基于 4G 系 统 的 移动 服务 技术 》 

《移动 无 线 传感器 网 一 一 技术 、 应 用 和 发 展 方向 》 

《UMTS 蜂窝 系统 的 Q0S 与 QOE 管 理 》 
《UMTS-HSDPA 系 统 的 TCP 性 能 》 

《基于 射频 工程 的 UMTS 空中 接口 设计 与 网 络 运行 》 

《未 来 UMTS 的 体系 结构 与 业务 平台 : 全 IP 的 3GCDMA 网 络 》 
《环境 网 络 : 支持 下 一 代 无 线 业 务 的 多 域 协同 网 络 》 

《基于 蜂窝 系统 的 IM S 一 融合 电信 领域 的 VOIP 演进 》 

《 蜂窝 网 络 高 级 规划 与 优化 2G/2.5G/3G/ 向 4G 的 演进 》 

《 微 电 子 技术 原理 、 设 计 与 应 用 》 

《多 电压 CMOS 电 路 设计 》 
《P2P 系 统 及 其 应 用 》 
《1PTV 与 网 络 视频 : 拓展 广播 电视 的 应 用 范围 
《下 一 代 无 线 系统 与 网 络 》 
































we 





机 械 工 业 出 版 社 微 信 服务 号 

Copies of this book sold without H046 B > y yg f= O / PEN 
a Wiley Sticker on the cover are tia st 工业 技术 / 通信 工程 / 网 络 协 以 
unauthorized and illegal 


787111 


ISBN 978-7-111-48725-8 


487258!> 


ISBN 978-7-111-48725-8 定价 ; 58.0075 





